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EDITORIAL 


Januar 2008 


Layer-8- und andere Probleme 


ass die Daten der Bürger miss- 

brauchssicher aufgehoben seien, 
ist eines der Mantras, das die Befür- 
worter von Datensammlungen und 
Überwachungsausweitungen nicht 
müde werden zu wiederholen. 


Darum war, als vor Kurzem in Groß- 
britannien die persönlichen Daten von 
25 Millionen Bürgern verloren gingen, 
die Empörung auch besonders groß. 
Vor allem, weil es für den — vermute- 
ten — Datendiebstahl keiner besonde- 
ren technischen Finesse bedurfte: Da 
hatte schlicht jemand zwei CDs ohne 
den Hauch von Schutzmaßnahmen per 
Post verschicken wollen. 


Solche Fehler werden in Untersu- 
chungsberichten üblicherweise unter 
„menschlichem Versagen“ subsumiert, 
ein sogenanntes Layer-8-Problem 
also. 


Deutlich mehr Gehirnschmalz inves- 
tierten Datendiebe im März dieses 
Jahres beim Einbruch in die Compu- 
tersysteme der US-Einzelhandelskette 
TJX. Dafür gab es auch mehr Daten: 
45,7 Millionen Kredit- und Debit- 
Karten-Nummern von TJX-Kunden. 
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Dagegen wirkt der Datendiebstahl, der 
im Oktober beim Hamburger Ticket- 
verkäufer Kartenhaus stattfand, wie 
kaum noch der Rede wert: Betroffen 
waren „nur“ die Daten von 66 000 
Kunden. 


Letztes Beispiel: 2006 benutzten 
niederländische Hacker kanadische 
Behörden-PCs mindestens zwei 
Monate lang zum Verbreiten von 
Pornos und Raubkopien. 


Diese Liste ließe sich beinahe beliebig 
verlängern, viele Pannen kommen nie 
an die Öffentlichkeit. Zudem illustrie- 
ren solche Fälle, was bei etwas Nach- 
denken ohnehin klar ist: Daten sind 
bei Behörden nicht sicherer aufgeho- 
ben als bei Privatbetrieben. Menschli- 
ches Versagen und technische Unzu- 
länglichkeiten gibt es überall. 


Man kann, um auf das Eingangsstate- 
ment zurückzukommen, in der Tat 
unterschiedlicher Ansicht sein über 
die richtige Balance zwischen persön- 
licher Freiheit und obrigkeitlichen 
Einschränkungen, zwischen dem 
Grad der informationellen Selbstbe- 
stimmung und der Reichweite staat- 
licher Informationssammlung. Wo 
man sich hier persönlich ansiedelt, 
hängt von der qualitativen und quan- 
titativen Bedrohungseinschätzung, 
dem grundsätzlichen Vertrauen in 
den Staat im Allgemeinen und Beson- 
deren et cetera pp ab. 


Eines sollte aber klar sein: Es gibt 
keinen grundsätzlichen Schutz vor 
Datendiebstahl. Weil es das Layer-8- 
Problem immer geben wird. Weil beim 
Wettrennen zwischen Verschlüsselern 
und Code-Knackern mal die einen, mal 
die anderen gewinnen. Weil kein Ver- 
schlüsselungsverfahren ewig hält. 


Das sollte, wer mehr Daten sammeln 
möchte, den Betroffenen ehrlich 
sagen. Und sich lieber über Versiche- 
rungen gegen Identitätsdiebstahl und 
andere Kollateralschäden Gedanken 
machen, statt seine Zeit mit leeren 
Versprechungen zu verschwenden. 


tg dagc 
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Mac OS X 10.5 „Leopard” 


Lange musste die Apple-Gemeinde auf die neue Version ihres 


Desktop-Betriebssystems warten. Dafür hat man in Cupertino 
auch tief in die Feature-Kiste gegriffen und 
zum Beispiel eine innovative Daten- 
sicherungssoftware entwickelt. 


Was bei Mac OS 10.5.1. neu 
ist, was schon funktioniert 
und was noch nicht, ab 


Seite /2 


Apples iPhone 
als Business-Handy 


Ohne Zweifel exorbitant ist der 

Coolness-Faktor von Apples iPhone. 

Die Konfrontation des Livestyle-Gadgets mit 
den Niederungen des Geschäftsalltags gibt 
Aufschluss, wie groß die Chancen für eine 
dauerhafte Begeisterung sind. 


Nicht nur für Linux: KDE 4.0 


Die grafische Benutzeroberfläche 


KDE läuft nicht nur auf Linux, 
sondern auch auf vielen 
anderen „unixoiden“ 


Betriebssystemen. KDE 4.0 führt 
zahlreiche Neuerungen ein, die das freie 
GUI auf Augenhöhe mit Mac OS X 
und Windows Vista bringen sollen. 


Seite 62 


Seite 68 
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IT-Sicherheit aus einer Hand 


Das Schlagwort „Unified Thread Management” soll signalisieren, 
dass durch solch eine Lösung gleich mehrere Sicherheitserfordernisse 
abgedeckt sind. Das heißt aber längst nicht, dass jedes angebotene 
Produkt den eigenen Bedürfnissen gerecht wird. Die iX-Marktübersicht 
zeigt, worauf man achten muss. 


Seite 114 
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LESERBRIEFE 


Januar 2008 


Unzulässige 
Verallgemeinerung 


(Editorial: Xid antwortet nicht; iX 12/07; S. 3) 


Ich bin kein großer Linux-Anwender 
und kann die fachlichen Aspekte Ihres 
Editorials nicht beurteilen. Allerdings 
hat mich Ihr Einleitungssatz „Linux, 
das stand einmal ...“ stutzig gemacht. 
Besser gesagt: Sie haben mich damit in 
die Falle gelockt. Denn der Rest des Ar- 
tikels dreht sich, so weit ich das beur- 
teilen kann, nicht um Linux per se, nur 
noch um Open Suse 10.3. Mit anderen 
Linux-Systemen möchten Sie laut eige- 
ner Aussage ja gar nicht kämpfen. 

Deshalb wäre etwas mehr Sorgfalt 
angebracht. Denn was Sie schreiben, 
ist eine unzulässige Verallgemeine- 
rung, die eigentlich nicht stehen blei- 
ben darf. 


REINHARD ENGEL, 
VIA E-MAIL 


(K)Ubuntu existiert! 


(Editorial: Xid antwortet nicht; iX 12/07; S. 3) 


Ihre Erfahrungen mit Linux, die Sie 
im Editorial der Dezemberausgabe be- 
schrieben haben, kann ich nicht ganz 
teilen. Hier einige Gedanken dazu: 

Der Ratschlag „Nimm doch Ubun- 
tu“ ist hier durchaus nicht ganz fehl am 
Platz. Meine bisherigen Erfahrungen 
mit Distributionen wie SuSE und Red- 
Hat haben mich dazu gebracht, diese 
zu meiden wo es geht. Nicht, dass es 
der Weisheit letzter Schluss wäre, aber 
meine Gentoo-Installation zu Hause 
läuft abgesehen von Software-Updates 
weitgehend stressfrei, ressourcenscho- 
nend und die beschriebenen Probleme 
mit dem NVIDIA-Treiber, den Sound- 
Daemons, Samba und X.org kann ich 
nicht nachvollziehen. Außerdem bietet 
Gentoo ein wunderbares Wiki, ein 
Forum sowie einen Bugtracker, wo ich 
bisher noch zu (fast) jedem Problem 
eine Lösung gefunden habe. Bei UÜbun- 
tu ist es ähnlich. 

Auch den Vergleich mit Mac OS X 
finde ich etwas unangebracht. Ge- 
schäftlich arbeite ich fast ausschließlich 
auf Apple-Rechnern und bin eigentlich 
recht zufrieden mit ihrem Betriebssys- 
tem. Trotzdem kämpfe ich ständig mit 
kleineren bis größeren Reibereien, zu 
denen die Lösungen (wenn es denn 
welche gibt) meist schwieriger zu fin- 
den sind als für Gentoo. 


Linux auf dem Desktop muss nicht 
problematisch sein. Um es mit Ihren 
Worten auszudrücken: (K)Ubuntu 
existiert! 


GREGOR RIEPL, VIA E-MAIL 


Gemischte Gefühle 


(Editorial: Xid antwortet nicht; iX 12/07; S.3) 


Mit sehr gemischten Gefühlen habe 
ich Ihr Editorial in der o. g. Ausgabe 
gelesen. Leider erinnert es mich an 
eine vor ein paar Tagen gemachte ei- 
gene Erfahrung mit Linux. 

Ich arbeite nach Anfängen auf Atari 
und Mac inzwischen seit langer Zeit 
unter Windows (95-Vista). Da ich mich 
sehr für Linux interessiere, habe ich 
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unter Virtual Box ein paar Linux-Sys- 
teme zum Kennenlernen aufgesetzt. 
Nachdem ich z. B. bei Ubuntu 7.10 
nicht herausfinden konnte, wie ich 
mich als Admin — Verzeihung, als Root 
— anmelden konnte, habe ich in einem 
User-Forum mit einer entsprechenden 
Frage ganz nett um Hilfe gebeten. 

Dass ich nicht buchstäblich gestei- 
nigt wurde, ist auch schon alles. Was 
ich dort an Antworten lesen musste, 
war leider an Arroganz nicht mehr zu 
überbieten. Von „Wenn du das nicht 
selbst findest, dann lass es lieber.“ bis 
„Dir sollte man den Root komplett 
sperren.“ war alles dabei. Ein einziger 
netter Teilnehmer hat mir dann einen 
Link zukommen lassen, womit ich 
mein Problem lösen konnte. 

Hier liegt leider genau das Problem 
begraben. Solange Linux (egal welche 
Distribution) nicht ähnlich einfach wie 
derzeit Windows XP zu bedienen und 
dabei gleichzeitig wesentlich stabiler 
ist, wird es auf Desktops keine größere 
Verbreitung finden, da die Mehrheit 
einfach nicht die Zeit und Energie auf- 
bringen wird, sich stundenlang mit 
Fehlersuche zu beschäftigen. Und unter 
Windows kennen Sie wenigstens je- 
mand, den man anrufen kann ... 


BENJAMIN KOHBERG, 
VIA E-MAIL 


Insgesamt sehr stabil 
(Editorial: Xid antwortet nicht; iX 12/07, S. 3) 


Ihre Kritik an Opensuse 10.3 kann ich 
(zum Glück) nicht nachvollziehen. Bei 
mir gab es (fast) keine Probleme beim 
Umstieg von 10.2 auf 10.3. „Fast“ 
heißt in meinem Fall: 

—NFS nutzt jetzt auch Ports im unte- 
ren Bereich, so dass ich am Server die 
entsprechenden Einstellungen machen 
musste. 

— Die ATI-Treiber aus dem Reposito- 
ry sind m. E. nicht zu gebrauchen. 
Wenn aber die Original-ATI-Treiber 
geladen und installiert sind, gibt’s 
keine Probleme. 

— YP-Bind startet etwas zu spät, so 
dass ich nach dem Booten den X-Ser- 
ver noch mal starten muss (3-Finger- 
Griff). 

Es sind lästige Fehler, die auch 
zum Aufspüren viel Zeit benötigen, 
aber insgesamt läuft das System bei 
mir sehr stabil. 

Inwieweit es Probleme mit aktuel- 
len Systemen und anderen Treibern 
gibt, kann ich nicht beurteilen. Aus 
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diesem Grund liegt es mir auch fern, 
Ihre Erfahrungen zu kritisieren. Trotz- 
dem scheint es kein prinzipieller Sys- 
temfehler zu sein. 


DIETER WINKLER, 
VIA E-MAIL 


Werbebotschaft 


(Editorial: Xid antwortet nicht; iX 12/07; S. 3) 


Als neuer Abonnent der iX hat mich 
Ihr Editorial sehr verärgert. Erst im 
letzten Satz vermitteln Sie Ihre Mac- 
OS-Werbebotschaft. Ich habe bisher 
die c’t als sehr ausgewogenes Magazin 
geschätzt und nun iX für meine dienst- 
lichen Informationen abonniert. 

Ich bitte Sie doch zukünftig, redak- 
tionelle Inhalte sauber von Werbung 
zu trennen. Außerdem erwarte ich von 
einem „Magazin für professionelle In- 
formationstechnik“ Informationen über 
Software, welche eben genau für die 
Zielgruppe ausgerichtet ist. Das Edito- 
rial sah eher so aus, als hätten Sie mal 
eben die DVD aus einer der letzten c’t- 
Ausgaben eingelegt und Ihr funktio- 
nierendes System damit zerschossen. 

Sie erwarten von einer Community- 
Distribution, dass es auf allen Maschi- 
nen für jeden normalen Anwender 
ohne Probleme einzurichten ist!? Mac 
OS X ist ein kommerzielles System 
und wird immer zusammen mit der 
passenden Hardware ausgeliefert. Es 
gibt mit Sicherheit Händler, welche 
ein optimal eingerichtetes professio- 
nelles Linux-System komplett mit 
Hardware zum Preis eines Macs ver- 
kaufen möchten. Wie Sie sicher wis- 
sen, hat Dell den ersten zaghaften 
Versuch bereits gestartet. 


NORBERT SCHULZE, 
VIA E-MAIL 


In eigener Sache 


Zum Jahreswechsel ändert sich der 
Dienstleister für die Auslieferung der 
iX-Abos. Bitte entnehmen Sie die neuen 
Kontaktdaten dem Impressum unter 
„Abo-Service“ (Seite 169). Bis 21. De- 
zember 2007 gilt noch die bisherige 
Anschrift: Leserservice iX, Postfach 
77 71 25, 30821 Garbsen, Tel.: 051 37/ 
88 20 00, Fax: 051 37/88 17 12. 


Unverändert bleibt die E-Mail-Adresse: 
abo@heise.de. Bei Anfragen zwischen 
dem 27.12. und 4.1. kann es zu Verzö- 
gerungen kommen, wir bitten, dies zu 
entschuldigen. 
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LESERBRIEFE 


Januar 2008 


CMS vergessen 


(Web Content Management: Fünf CMS auf 
PHP-Basis; iX 12/07, S. 54) 


Zuerst einmal Danke, dass Sie Open- 
Source.CMS testen. Leider vermisse 
ich in Ihrem Artikel XOOPS (www. 
xoops.org), welches eine ungemein 
aktive Community weltweit hat. 


WOLFGANG MURTH, 
VIA E-MAIL 


Wegen der großen Zahl freier Content- 
Management-Systeme hätte jeder An- 
spruch auf Vollständigkeit den Rahmen 
eines Zeitschriftenartikels gesprengt. 
Wir haben uns darum auf zwei verbrei- 
tete Programmiersprachen, Java und 
PHP, und eine exemplarische Auswahl 
beschränkt, die die gesamte Spannbrei- 
te möglicher Einsatzzwecke heutiger 
Open-Source-CMS abdeckt. (d. Red.) 


Drupal kann mehr 


(Web Content Management: Fünf CMS auf 
PHP-Basis; iX 12/07, S. 54) 


Sowohl im Artikel als auch in der 
Vergleichstabelle sind einige Anga- 
ben nicht völlig korrekt. Die standard- 
mäßige Template-Sprache von Drupal 
ist das wohl nicht ganz unbekannte 
phpTemplate, so dass vorhandene 
Templates auf dieser Basis ohne 
große Anstrengung angepasst werden 
können. Es lassen sich außerdem wei- 
tere Template Engines nachrüsten, 
z. B. phpTal oder Smarty. Auch wer- 
den zwei sehr elementare und vielsei- 
tig einsetzbare Module nicht erwähnt, 
die gewissermaßen zum Drupal-Stan- 
dardrepertoire jeder größeren Seite 
gehören und die das System von den 
anderen des Vergleichs absetzen, 


auch Typo3, nämlich das „Content 
Construction Kit“ (http://drupal.org/ 
projects/cck) einerseits und „Views“ 
(http://drupal.org/project/views) ande- 
rerseits. Weiterhin gibt es, anders als 
in der Tabelle auf Seite 60 angegeben, 
sehr wohl eine Sandbox für Drupal 
(http://drupal.org/project/demo). An- 
ders als bei z. B. Papaya und Typo3 
wird auch nicht auf die ausgeklügelten 
und gut dokumentierten APIs für fast 
alle Aspekte von Drupal verwiesen. 


JAN STÖCKLER, 
MÜNSTER 


Regeln verletzt 


(C++-Programmierung: Boost-Tutorial I; iX 12/07; 
S. 134) 


Leider verwendet der Autor den 
shared_ptr genau so, wie man ihn 
nicht verwenden sollte. In Listing 2: 
Falls new payload(,„B“) eine Excep- 
tion wirft (z. B.: std::bad_alloc), wird 
objectA niemals zerstört. Das Beispiel 
verletzt die grundlegendste Smart- 
Pointer-Regel: Immer direkt in den 
Smart Pointer konstruieren, und nur 
eine solche Konstruktion pro Expres- 
sion (wegen Undefiniertheit der Evalu- 
ierungsreihenfolge von Funktionsargu- 
menten). Also folgendermaßen: 


shared_ptr<payload> Al new payload( "A") }; 
shared_ptr<payload> B[ new payload("B") ); 


Eine zweite Sache: Seit v1.32 kann 
man Bind-Expressions mit Operatoren 
verbinden, z. B. in Listing 6 


bind| &payload::getObjectld, _1 ) > 
bind| &payload::getObjectld, _2 ) 


statt 


bind| std::greater<std::string>[], 
bind| &payload::getObjectld, _1 ), 
bind| &payload::getObjectld, _2 ) ) 


Dies ist ein Feature von Boost.Bind 
(bzw. dessen Superset, Boost.Lambda). 
std::tr1::bind erlaubt dies nicht. 


MARC MUTZ, BERLIN 


Marc Mutz hat Recht. In Teil 2 des 
Tutorials in diesem Heft findet sich 
dazu eine nähere Erläuterung. (d. Red.) 


Die iX-Redaktion behält sich Kürzungen und 
auszugsweise Wiedergabe der Leserbriefe vor. 
Die abgedruckten Zuschriften geben ausschließ- 
lich die Meinung des Einsenders wieder, nicht 
die der Redaktion. 
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MARKT + TRENDS 


Softwareentwicklung 


Microsofts TechEd: Neues 
Synchronisations-Framework 


Auf der 


<D 


TechEd Developers 
2007 


Beta-Bremse 


Holger Schwichtenberg 


Große Vorstellungen und Ankündigungen waren 
auf Microsofts europäischer TechEd Mangelware - 
das neue Sync Framework ragte aus den vielen 


Kleinigkeiten heraus. 


M::* europäische Aus- 
gabe der hauseigenen 
„lechEd“ war hinsichtlich 
Neuankündigungen in diesem 
Jahr unspektakulär. Nicht we- 
nige Entwickler begrüßen 
allerdings die Verschnaufpau- 
se im kontinuierlichen Strom 
neuer Beta-Versionen aus 
Redmond, der sie in den letz- 
ten Monaten in Atem gehalten 
hatte. 


Die zentrale Nachricht in der 
Keynote von Microsofts Corpo- 
rate Vice President S. Somase- 
gar war, dass das .Net Frame- 
work 3.5 und Visual Studio 
2008 schon einige Wochen eher 
erscheinen als erwartet: „Ende 
November“. Da der offizielle 
Veröffentlichungstermin der 
27. Februar 2008 ist, lag nahe, 
dass Microsoft zunächst eine 
Release-Candidate(RC)-Version 


Weitere TechEd-Ankündigungen 


Wie im letzten Jahr fand die 
TechEd Europe über zwei Wo- 
chen statt: Die erste richtete sich 
an Entwickler, die zweite an Ad- 
ministratoren und Infrastruktur- 
experten. Hier eine Auswahl 
weiterer Ankündigungen: 


— Microsofts Partnerunternehmen 
(Visual Studio Industry Partner — 
VSIP) können zukünftig den 
Quellcode von Visual Studio li- 
zenzieren, um Erweiterungen für 
die Software einfacher erstellen 
zu können. 


-Für die Mashup-Website Pop- 
fly gibt es nun ein Visual Studio- 
Add-In (Popfly Explorer). 


—- Wikis und eine Code-Biblio- 
thek, zu denen jedermann beitra- 
gen kann, sollen das MSDN- 
Webportal interaktiver gestalten. 


— Microsoft wird den Quellcode 
einer VS-Variante zur Anpas- 
sung des Computerspiels „World 
of Warcraft“ (in der Sprache 
Lua) veröffentlichen, um damit 
die Offnung von Visual Studio 
für andere Anwendungsfälle zu 
demonstrieren. 
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In der zweiten Woche kündigte 
Microsoft Folgendes an: 


— Windows Server 2008 soll es 
in acht verschiedenen Versionen 
geben: Standard, Enterprise, Da- 
tacenter und Web sind die 
Grundversionen. Die ersten drei 
gibt es in zwei Varianten jeweils 
mit und ohne die Virtualisie- 
rungstechnik Hyper-V (Micro- 
softs Hypervisor). Die achte 
Version ist die Server-Variante 
für den Itanium. 


— Das Erscheinen von Windows 
Server 2008 verteilt sich über 
das gesamte Jahr. Zum offiziel- 
len Feiertermin am 27. Februar 
soll nur Visual Studio, nicht 
aber SQL Server und Windows 
Server tatsächlich verfügbar 
sein. 


— Hyper-V soll als eigenständi- 
ger Server verfügbar sein. 


— Die 2008er-Version des SQL 
Server soll sich komplett über 
PowerShell-Commandlets ad- 
ministrieren lassen, wie dies 
beim Exchange Server 2007 
schon möglich ist. 


verteilen und zum Weihnachts- 
fest die fertige Version präsen- 
tieren würde. Die RC-Version 
war aber Insidern vorbehalten 
und seit dem 19. November 
liegt ‚Net 3.5 nun in der endgül- 
tigen Version auf den Webser- 
vern in Redmond. 

Am Umfang von .Net 3.5 
hat sich nichts mehr geändert. 
Highlight ist die einheitliche 
Anfragesprache Language Inte- 
grated Query (Ling) für Objek- 
te, Datenbanken und XML- 
Dokumente. Die Sprachsyntax 
von C# und Visual Basic haben 
neben Ling-Befehlen noch ei- 
nige Neuerungen hinsichtlich 
funktionaler Programmierung, 
die Erweiterbarkeit bestehender 
Klassen und ein paar syntakti- 
sche Zuckerstückchen erhalten. 
Die Windows Communication 
Foundation (WCF) bietet mehr 
Protokolle und Formate als bis- 
her sowie eine Integration in 
die Workflows. Bei Windows 
Forms, ASP.Net und der Win- 
dows Presentation Foundation 
hat sich wenig verändert. 
ADO.Net bietet neue Klassen 
zu Datensynchronisation. 


Mehr Features 
im Service Pack | 


Da sich einige ursprünglich für 
‚Net 3.5 geplante Entwicklun- 
gen länger als vorgesehen hin- 
gezogen haben, dürften die 
Redmonder Mitte 2008 schon 
genug Funktionen für ein ‚Net 
3.7 oder 3.8 zusammenhaben. 
Aus mehreren Ecken war auf 
der Veranstaltung jedoch zu hö- 
ren, dass es wohl ein umfang- 
reiches „Service Pack 1“ für 
‚Net 3.5 werden soll. 

Service Pack 1, das aufgrund 
des Umfangs an Neuerungen 
eher „Feature Pack“ heißen soll- 
te, enthält neben dem ADO.Net 
Entity Framework wahrschein- 
lich die ADO.Net Data Services 
für den einfachen Zugriff auf 
Daten über REST-basierte 
Webservices, neue dynami- 
sche Datensteuerelemente für 
ASP.Net, Unterstützung für die 
Browsernavigation in ASP.Net 
Ajax sowie Silverlight-Unter- 
stützung in ASP.Net Ajax. 

Ebenfalls auf der Agenda für 
Service Pack 1 ist MVC, das 
Model-View-Controller-Prinzip 
für Webanwendungen. MVC- 
Seiten sind eine Variante von 
ASP.Net-Seiten, mit einer Kom- 
petenztrennung in Geschäftsmo- 
dell, Präsentation und Ablauf- 


steuerung. Allerdings plant Mi- 
crosoft überraschenderweise ein 
Modell, das nicht auf den be- 
stehenden ASP.Net-Webforms 
und deren Serversteuerelemen- 
ten aufsetzt, sondern eins, das 
an die klassischen Active Server 
Pages (ASP) erinnert: Im View 
müssen Webprogrammierer 
HTML-Elemente explizit ver- 
wenden und sie mit Verweisen 
auf die Daten vermischen. Die 
Seitenzustandsverwaltung mit 
dem ASP.Net-Viewstate ist da- 
mit in MVC-Seiten ebenfalls 
nicht verfügbar. Wer eine Ta- 
belle ausgeben will, kann sich 
dementsprechend nicht auf die 
Abstraktion des GridV iew-Steu- 
erelements stützen, sondern 
muss die HTML-Elemente ex- 
plizit verwenden und die zuge- 
hörige Schleife über die Daten- 
sätze programmieren. 

Nachdem Webentwickler 
seit sechs Jahren von dem Ren- 
dering der ASP.Net-Server- 
steuerelemente verwöhnt wur- 
den, ist das ein schlimmer 
Rückfall in die Websteinzeit. 
Seiten nach dem MVC-Modell 
haben in der aktuellen Vorab- 
version neben der Kompetenz- 
trennung nur einen Vorteil: Sie 
sind performanter. Insgesamt 
ist MVC für ASP.Net jedoch 
eine große Enttäuschung. 

Ob die MVC-Vorgehens- 
weise wirklich im nächsten 
Jahr als Teil des .Net Frame- 
works erscheint, bleibt deshalb 
abzuwarten. Auf der TechEd 
war außerdem zu hören, dass 
andere schon als Vorabversion 
herausgegebene Webtechniken 
aus dem früheren Atlas-Projekt 
vorläufig gestorben sind. Dazu 
gehören insbesondere die client- 
seitige Datenbindung und das 
sogenannte „XML Script“, das 
das Konzept der Serversteuer- 
elemente auf den Browser über- 
tragen sollte. 


Framework für 
die Synchronisation 


Wirklich neu war das Sync 
Framework. Dabei handelt es 
sich um eine Bibliothek zur 
Synchronisierung von Daten — 
sowohl zwischen einem Server 
und einem Client, der zeitweise 
offline ist, als auch zwischen 
zwei gleichberechtigten Syste- 
men (Peer-To-Peer). Die Basis 
(beispielsweise Datenbanken 
oder Dateisystem) ist durch den 
Einsatz eines Providermodells 
beliebig, ebenso das Protokoll 
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zur Datenübertragung. Das 
Sync Framework basiert intern 
auf klassischem C++-Code, 
bietet aber außerdem eine .Net- 
Schnittstelle. Ein Erscheinungs- 
termin steht allerdings noch 
nicht fest. 

Microsoft musste sich viele 
Fragen anhören, in welcher Be- 
ziehung das Sync Framework 
zu den in .Net 3.5 enthaltenen 
ADO.Net Synchronisation Ser- 
vices und dem erweiterbaren 
Synchronisationscenter in Win- 
dows Vista stehe. Microsoft 
versteht das Sync Framework 
als eine Verallgemeinerung der 
ADO.Net Synchronisation Ser- 
vices und eine Möglichkeit, Er- 
weiterungen für das Synchroni- 
sationcenter in Windows Vista 
zu schreiben. 

Ebenso immer wiederkeh- 
rend war die Frage, wieso Mi- 
crosoft die Lücke im Bereich 
objektrelationales Mapping 
(ORM) im .Net Framework 
nun direkt mit zwei Produkten 
schließen will: Ling-to-SQL (in 
Net 3.5 enthalten) und dem 
ADO.Net Entity Framework 
(EF), geplant für das Service 
Pack 1. Microsoft sieht Ling-to- 
SQL als Lösung für einfachere 
Abbildungszenarien und das EF 
für vollständiges ORM in gro- 
ßen Projekten. Als Begründung 
für die Konkurrenz im eigenen 
Lager nannten die Entwickler, 
dass sich zwei verschiedene 
Entwicklungsteams (C# und 
ADO.Net) unabhängig vonein- 
ander des Themas ORM ange- 
nommen hätten. 


PowerShell 
in der Version 2.0 


Jeffrey Snover, Architekt der 
neuen Windows-Shell, stellte 
in Barcelona die zweite Vorab- 
Version der .Net-basierten Po- 
werShell erstmals öffentlich 
vor. Die wesentliche Änderung 
betrifft die Fähigkeit zum Fern- 
aufruf von Befehlen und Skrip- 
ten, die viele Administratoren 
in der ersten Version vermisst 
haben. Weiterhin bietet die Po- 
werShell 2.0 Unterstützung für 
Hintergrundcode-Ausführung, 
sowie eingeschränkte Shells, 
die nur bestimmte Befehle und 
Skripte zulassen. Erstmals will 
Microsoft einen eigenen Skript- 
editor anbieten. Derzeit bietet 
die „Graphical PowerShell“ 
aber nur Syntaxhervorhebung. 
Eingabehilfe wie bei Visual 
Studio ist jedoch geplant. 
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Darüber hinaus soll es zahl- 
reiche neue Commandlets, neue 
Operatoren und Verbesserun- 
gen in der Unterstützung für die 
Windows Management Instru- 
mentation (WMI) und die Ver- 
zeichnisdienstprogrammierung 
mit dem Active Directory ge- 
ben. Bis zur endgültigen Ver- 
sion soll sich noch viel tun. 
Snover hat noch eine Verpa- 
ckung für Skripte und zugehö- 
rige Datendateien sowie ein Er- 


eignissystem für beliebige Än- 
derungen im System angekün- 
digt. Die PowerShell 2.0 erfor- 
dert an einigen Stellen ‚Net 3.0 
und läuft weiterhin auf allen 
Systemen ab Windows XP. 
Die TechEd bot zwar keine 
weltbewegenden Neuerungen, 
aber Entwickler konnten die 
Produktveröffentlichungen der 
letzten zwölf Monate aufarbei- 
ten — etwa dadurch dass es Vor- 
träge zu ASP.Net 2.0 und eine 


Einführung in WCF gab, ob- 
wohl diese schon lange vorlie- 
gen. Erst ab Mitte 2008 gilt 
wieder: Es ist Beta-Zeit — für 
‚Net 4.0, Visual Studio 10, die 
nächste Hauptversion von Visu- 
al Team System und die neue 
SOA-Plattform Oslo. Außer- 
dem dürfte 2008 eine Profes- 
sional Developer Conference 
(PDC) stattfinden, auf der es 
traditionell ein Feuerwerk an 
Neuankündigungen gibt. (hb) 
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MARKT + TRENDS 


Top500 


Jülicher Rechner an Spitzenposition 


unter den Top500 


Aufgemotzt 


Nikolai Zotow 


Trotz aller Kritik am Benchmark Linpack, dem Maß} für 
die Top500, rangeln die Weltbesten nach wie vor um 
die Plätze. In der November-liste konnte sich Deutsch- 
land mit seinen HPC-Rechenzentren gut behaupten. 


er leistungsfähigste unter 

den zivil genutzten Super- 
computern der Welt steht in 
Deutschland. In den halbjährlich 
erscheinenden Top500 der welt- 
weit schnellsten Supercomputer 
hat der neu installierte Super- 
rechner am Forschungszentrum 
Jülich den den Sprung auf 
Platz 2 geschafft. Mit 65 536 
Kernen erreicht er eine Spitzen- 
leistung von 167,3 TFlop/s. Es 
handelt sich um die JUGENE, 
eine BlueGene/P Solution von 
IBM mit PowerPC-450-Prozes- 
soren und sagenhaft niedrigen 
850 MHz. Nur das militärisch 
genutzte ältere Modell Blue- 
Gene/L am Lawrence Liver- 
more National Laboratory in 
Livermore, Kalifornien (USA), 
leistet mit 212 992 Prozessoren 
mehr: 478,2 TFlop/s. Es stammt 
einer gemeinschaftlichen Ent- 
wicklung von IBM und dem 
Department of Energy’s (DOE) 
National Nuclear Security Ad- 
ministration (NNSA). 


Überhaupt haben Positions- 
kämpfe unter den ersten zehn 
die Platzkarten neu gemischt: 
Auf Platz 3 findet sich als Neu- 
ling das New Mexico Com- 
puting Applications Center 
(NMCAC) in Rio Rancho, 
New Mexico (USA). Es be- 
treibt eine Altix ICE 8200 von 
SGI in Chippewa Falls, Wis- 
consin (USA), die mit 14 436 
Xeon-Quad-Core-Prozessoren 
von Intel bei 3 GHZ eine Spit- 
zenleistung von 126,9 TFlop/s 
auf die Beine stellt. 


Überraschungen 
in den Top Ten 


Einsteiger bei den Ländern un- 
ter den Top Ten, Indien, folgt 
auf Platz 4 mit 117,9 TFlop/s. 
Diese Rechenleistung liefert 
die Cluster Platform 3000 
BL460c von Hewlett-Packard 
unter Linux. Das in diesem 
Jahr installierte System ist mit 


Aufs Treppchen: Das Forschungszentrum Jülich konnte mit JUGENE, 
dem weltweit schnellsten System unter den zivil genutzten 
Supercomputern, in der Top500 aus dem Stand Platz 2 erreichen. 
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14 240 Woodcrest-CPUs von 
Intel bestückt. Die Xeon-Pro- 
zessoren sind mit 3 GHz ge- 
taktet und über Infiniband ge- 
koppelt. Der Supercomputer 
steht in Computational Re- 
search Laboratories, TATA 
SONS, in Pune (einst Poonah), 
Maharashtra (Indien). Das 
Land konnte bisher in der Ju- 
ni-Liste 2007 als besten Platz 
Position 159 belegen und hat 
inzwischen 9 (vorher 8) Syste- 
me in den Top500. 

Als weiterer Neuling taucht 
der Cluster in Schweden an 
5. Position auf. Es handelt 
sich ebenfalls um die Platform 
3000 BL460c von HP, jedoch 
„nur“ mit 13 728 Xeons bei 
2,66 GHz, die 102,8 TFlop/s 
schafft. Betreiber ist eine Ein- 
richtung der schwedische Re- 
gierung (Government Agen- 
cy). Schweden, im Juni noch 
mit 10 Systemen und Best- 
platz 183, konnte 7 Systeme 
in der Top500 halten. 

Europa hält im kontinen- 
talen Vergleich mit 150 Su- 
percomputern den zweiten 
Rang mit einem Plus von 23 
Systemen. Gemessen an der 
Rechenleistung konnte Deutsch- 
land Großbritannien in der 
Summe aller Spitzenwerte 
überholen. Sie hat sich mit 536 
TFlop/s gegenüber der letzten 
Erhebung im Juni 2007 mehr 
als verdoppelt. Bei der Ge- 
samtanzahl der Implementie- 
rungen führt Großbritannien 
(512 TFlop/s) immer noch mit 
48 gegenüber Deutschland mit 
31. Es folgt Japan (291 
TFlop/s) mit 20 und Frank- 
reich (223 TFlop/s) mit 17. 
Die USA (4178 TFlop/s) sind 
nach wie vor Spitzenreiter: 
248 der 500 stärksten Rechner 
stehen dort. 


Intel verliert beim 
ltanium 


Spitzenreiter unter den Prozes- 
sorherstellern bleibt Intel mit 
70,8 %. AMD hält Nummer 
zwei mit 15,8 % gefolgt von 
IBMs Power mit 12,2 %. Wäh- 
rend Intel beim Xeon seine Po- 
sition von 231 auf 320 Syste- 
me ausbauen konnte, fiel es 
mit dem Itanium von 28 auf 21 
Installationen zurück. AMD 
und IBM mussten ebenfalls zu- 
rückstecken: 79 (vormals 113) 
AMD- und 61 (gegenüber 85) 
Power-Rechner konnte sich in 
der Bestenliste halten. 


Im Vergleich zum letzten 
Bericht „HP bedrängt IBM - 
Intel im Plus“ (iX 8/07, S. 11) 
schrumpfte der Vorsprung der 
einstigen Garagenwerkstatt in 
Palo Alto. Nur noch 166 Sys- 
teme kamen von dort, ein Mi- 
nus von 44. IBM konnte im 
gleichen Zeitraum 40 erobern 
und verbucht jetzt 232 für sich. 
Dell und SGI folgen weit abge- 
schlagen mit 24 beziehungs- 
weise 22, konnten aber in den 
letzten sechs Monaten knapp 
zulegen. Auf Platz 5 behauptet 
sich Cray mit 14 (+3). Die rest- 
lichen 42 Systeme verteilen 
sich auf Linux Networx (9), 
Hitachi (4), Appro Internatio- 
nal (4), Fujitsu (3) und andere. 
Bei vier Superrechnern handelt 
es sich um Eigenbauten. 


Jülich ist zweimal 
vertreten 


Die deutsche Top-Liste führt 
das Forschungszentrum Jülich 
(FCJ) an, vor dem Leibniz-Re- 
chenzentrum (LRZ) in Gar- 
ching bei München. Letzteres 
bietet eine Leistung von 56,5 
TFlop/s und nimmt im weltwei- 
ten Ranking Platz 15 mit seiner 
von SGI stammenden Altix 
4700 ein, die 9728 Itanium-2- 
Core mit 1,6 GHz besitzt. 
Hierzulande folgt auf Platz 3 
(Top500 Platz 28) ein weiterer 
Rechner aus Jülich, der eServer 
BlueGene mit einer Leistung 
von 37,3 TFlop/s. Die Max- 
Planck-Gesellschaft MPV/IPP 
auf Platz 4 nutzt ebenfalls einen 
Rechner von IBM, den Blue- 
Gene/P. Mit seiner Spitzenleis- 
tung von 21,9 TFlop/s kommt er 
weltweit auf Rang 40. Die fol- 
genden drei Plätze halten nicht 
näher genannt werden wollen- 
de Finanzinstitutionen, weitere 
Forschungszentren folgen. 
Hochleistungsrechnen bleibt 
eine Linux-Domäne. Das Be- 
triebssystem konnte seine Do- 
minanz gegenüber Juni 2007 
ausbauen: auf rund 85,2 % von 
77,8 % noch im Juni. Der An- 
teil an Unix halbierte sich hin- 
gegen von 12 % auf 6 %. Einen 
hohen Zuwachs — wenn auch 
auf niedrigem Niveau — legte 
Windows Compute Cluster Ser- 
ver an den Tag. Waren es in der 
vorigen Statistik magere 0,4 %, 
kamen nun 1,2% der RZs, ins- 
gesamt sechs Rechensysteme, 
in die Liste. Der Anteil von ge- 
mischten Strukturen fiel von 
8.4 % auf6,8 %. (rh) 
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MARKT + TRENDS 


Technikkonferenz 


Handkäs und die Musik 


Vom 3. bis 5. Dezember hat 
es Suns Welttournee, die 
„Sun Tech Days“, nach 
Deutschland verschlagen. 
Gut 1200 Besucher sind laut 
Veranstalter dem Ruf nach 
Frankfurt gefolgt. 


Zwar gab es einen kostenlosen 
„Community Day“, allerdings 
kosteten zwei Drittel der Kon- 
ferenz Eintritt, regulär 99, er- 
mäßigt 49 Euro. Das ist bei 
den Sun Tech Days nicht un- 
bedingt üblich und bleibt im 
Wesentlichen dem Gusto der 
lokalen Dependance überlas- 
sen. Demzufolge fand man in 
Deutschland, anders als im ein- 
trittsfreien Sankt Petersburg im 
April dieses Jahres, eher Besu- 
cher mit beruflichem Interesse 
als Studenten. 

Die Deutschen erwartete ein 
recht umfangreiches Programm 
mit drei Themenschwerpunk- 
ten: zwei für Entwickler — Java 
in sämtlichen Schattierungen 
und Netbeans sowie Solaris/ 
OpenSolaris. Darüber hinaus 
gab es Vorträge zu Debugging 
mit Java, dtrace unter Solaris 
oder zu Performance. 


Sun gibt sich „open” 


Auf reges Interesse stieß der 
OpenSolaris-Track. Während 
der Eröffnung verkündete Frank 
Curran, dass der Call for Pa- 
pers für die vom 25. bis 27. Ju- 
ni 2008 stattfindene OpenSo- 
laris Developer Conference 
eröffnet sei (www.osdevcon. 
org). Die GUUG (German 
Unix User Group) und die 
CZOSUG (Czech OpenSolaris 
User Group) organisieren die 
Konferenz gemeinsam. 
Andere Vorträge waren von 
gemischter Qualität: Scott Rot- 
tondo (Sun) benutzte wohl et- 
was ältere Folien und vergaß 
beim Vorstellen der Distributio- 
nen zunächst Suns „Indiana“. 
Schade, dass er einige Code- 
Beiträge externer deutscher Ent- 
wickler wie SchilliX, Martux 
oder ksh93 den Anwesenden 
nicht auch als hiesige Errun- 
genschaften präsentierte. Das 
Glanzlicht des Tages setzte Max 
Bruning - selbstständiger Bera- 
ter —, der mit viel Gestik zum 
Besten gab, wie er mit (k)mdb 
bewaffnet einem Bug auf die 
Schliche kam, bei dem eine An- 
wendung bei einem UDP send- 


to unreproduzierbar, aber immer 
zur selben Uhrzeit stehen blieb. 
Zwei Fehler waren dafür ver- 
antwortlich: Die Anwendung 
(BLOB) übergab einen Sende- 
puffer von Null, was ein Fol- 
geproblem im Solaris triggerte. 


Vater aller 
Java-Technologien 


Zum Auftakt des kostenpflich- 
tigen Konferenzteils dirigierte 
Games Gosling — der Erfinder 
von Java und damit der Weg- 
bereiter der Entwicklung des 
Java-Umfelds — die Aufmerk- 
samkeit von gut 500 Leuten. 
Die Rede war gut und gewürzt 
mit Anekdoten: Er berichtete 
von Handys in Japan, die Java- 
Spiele mithilfe von 3D-Be- 
schleunigern zu PS3-ähnlicher 
Performance und entsprechen- 
der Begeisterung verhalfen. 
Der Cola-Automat mit Webser- 
ver war eine weitere Anekdote, 
löste aber bei manchen nur 
Kopfschütteln aus. Die einzige 
wirkliche Neuigkeit, mit der 
Gosling aufwarten konnte, war 
die Verkündung der Tags zu- 
vor erschienenen Netbeans- 
Version 6.0, die nun unter an- 
derem mit Unterstützung für 
(Ruby, einer aufgepeppten 
Oberfläche, einem integrierten 
Designer für Web- und mobile 
Anwendungen aufwarten kann. 

Im weiteren Verlauf war die 
Mischung der Vorträge wie zu- 
vor: Uli Gräf von Sun brillierte 
mit einem Vortrag über ZFS, 
sein Kollege Scott Rotondos 
„New Security Features“-Vor- 
trag verweilte zehn Minuten bei 
Secure by Default (nicht mehr 
Anknipsen aller möglichen 
Dienste), während er die Trus- 
ted Extensions, Labeled Net- 
working überflog. 

Unterm Strich: viel Informa- 
tionen. Bei einigen Vorträgen 
bestand für technisch stärker 
interessierte etwas Nachbesse- 
rungsbedarf. Dirk Wetter 
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MARKT + TREN 


Maclive Expo 


Kölner Mac-Messe ohne Apple und T-Mobile 


Zwiegespalten 


Achim Born 


Herbstgefühle statt Sommer-Jam: Die Terminver- 
schiebung brachte der Maclive Expo keine spürbare 
Verbesserung. Apple und der hiesige iPhone- 
Distributor T-Mobile waren erst gar nicht vertreten. 


Ga zufrieden konnte 
nach Ablauf der viertägi- 
gen Maclive Expo wohl kaum 
jemand sein. Denn zum einen 
mutete das Messekonzept zu 
widersprüchlich an, zum ande- 
ren fanden einfach zu wenige 
Aussteller und Besucher den 
Weg in die etwas verborgen lie- 
genden Expo-XXI-Hallen, in 
denen Mitte November in Köln 
der Apfeltreff stattfand. Gut 
100 Haupt- und Unteraussteller 
führte der Veranstalter auf. 

Die Verschiebung des Ter- 
mins vom Juni in den Novem- 
ber, die bereits im Vorfeld der 
Veranstaltung einigen Ge- 
sprächsstoff geliefert hatte, 
brachte somit nicht den erhoff- 
ten Erfolg. Halboffizielle Be- 
gründungen - die Verspätung 
von Mac OS X 10.5 (Leopard) 
und die iPhone-Ankunft in 
Deutschland — wirkten wenig 
überzeugend, denn weder Ap- 
ple noch T-Mobile waren auf 
der Maclive Expo vertreten. 


Macs kaum zu sehen 


Die Abwesenheit von Apple 
hatte zur Folge, dass neue 
Rechner, insbesondere Server, 
nur vereinzelt auf den Ständen 
von Distributoren — etwa auf 
dem von Gravis organisierten 
Macworld-Stand — zu sehen 
waren. Da es T-Mobile trotz des 
kurz zuvor erfolgten iPhone- 
Vertriebsstarts ebenfalls vor- 
zog, der Messe fernzubleiben, 
konnten die Besucher ihr hap- 
tisches Interesse nur an den 
wenigen Exemplaren am 
Stand „Meet the iPhone‘ von 
M&M stillen. 

Mit dem neuen MacBusi- 
nessPark, den Expomedia in 
Zusammenarbeit mit dem Inter- 
net-Portal OSXpert.biz für Be- 
sucher aus Unternehmen orga- 
nisiert hatte, mühte man sich, 
der Messe insgesamt einen pro- 


iX 1/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


fessionelleren Anstrich zuge- 
ben. Server- oder Netzwerk- 
Lösungen waren jedoch nur 
bedingt bei Distributoren zu be- 
gutachten. Brainworks etwa 
hatte neben der Client-Manage- 
mentsoftware Lanrev den Mail- 
ware- und Groupware-Server 
Kerio dabei, der mittels Repel- 
lent-Funktion durch leichte 
Verzögerungen des SMTP-Ab- 
laufs ungeduldige Spam-Zom- 
bies ausgrenzen soll. 

Agenturmitarbeiter oder pro- 
fessionelle Kreative konnten 
häufiger fündig werden. So ga- 
ben wie im Vorjahr auf der 
Maclive-Bühne bekannte Ap- 
ple-Kenner Einblicke in ihr Su- 
jet. Die kostenpflichtigen Semi- 
nare und Tutorials hatten 
ebenfalls ihren Zulauf. HP, mit 
einem 125 m? großen Stand 
vertreten, führte großformatiges 
Drucken für Profifotografen 
und Grafikdesigner vor. Mi- 
crosoft warb außer für das 
kommende Office 2008 für 
Mac insbesondere für die Di- 
gital-Asset-Management- und 
Katalogsoftware Expression 
Media. Einen weiteren Schwer- 
punkt bildete die Adobe-Flash- 
Konkurrenz Silverlight, ein 
Plug-in für Rich Interactive 
Applications (RIAs) und .Net- 
basierte Multimedia-Anwen- 
dungen, das in allen gängigen 
Browsern unter Windows und 
Mac OS X läuft. 

Insgesamt wirkte die Messe 
— auch aufgrund des Fehlens 
bedeutender Hersteller — etwas 
beliebig. Sie war weder eine 
Fach- noch eine Publikums- 
messe. Die erstmals vorgenom- 
mene Zweiteilung des Messe- 
verlaufs mit je zwei Tagen für 
Fachbesucher (schwach be- 
sucht) und für Mac-Endver- 
braucher (besser frequentiert) 
unterstrich den widersprüch- 
lichen Charakter der Veran- 
staltung. (un) 
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MARKT + TRENDS 


Internet-Entwicklung 


Löst das IGF die großen Fragen der Netzpolitik? 


Eine-Welt-Laden 


Monika Ermert 


Noch herrscht Uneinigkeit darüber, wie viel 
Netzpolitik das Internet Governance Forum (IGF) 
überhaupt beackern soll. Die Themenliste der unter 
dem Dach der Vereinten Nationen gegründeten 
Organisation ist beim zweiten Treffen in Rio de 
Janeiro jedenfalls gewachsen. 


um Datenschutz, zur 

Nachhaltigkeit freier Stan- 
dards für die Entwicklungslän- 
der, zur Balance zwischen Si- 
cherheit und Freiheit kam 
diesmal das Thema Schutz von 
Kindern und Jugendlichen im 
Netz — neben vielen anderen. 
Das wirft Fragen auf, ob das 
ursprüngliche Ziel, die Ent- 
machtung der USA bei der 
Aufsicht über die zentralen 
Rootserver und das DNS, in 
diesem Forum überhaupt er- 
reichbar ist. 

Der Erfolg einer Mammut- 
veranstaltung wie dem IGF mit 
rund 1500 Teilnehmern, über 
80 Workshops und Hundertau- 
senden von Seiten Protokollen 
ist schwer zu messen. Ent- 
scheidungsbefugnisse haben 
Regierungen, die das IGF ins 
Leben riefen, der neuen Insti- 
tution nicht verliehen — und da- 
bei müsse es bleiben, unter- 
strich der Vertreter des US 
State Department, David 
Gross, in Rio. Diplomatische 
Verhandlungen um die Auf- 
sichtsmacht bei den zentralen 
Rootservern etwa will die USA 
um jeden Preis verhindern. Er 
sehe „derzeit keinen Ände- 
rungsbedarf“, sagte Gross. 


Schlüssel in den USA 


Als politisch heikel bezeichne- 
te Denic-Chefin Sabine Dolde- 
rer Überlegungen zum raschen 
Signieren der Rootzone per 
DNSSec durch die von den 
USA beaufsichtigte Internet 
Corporation for Assigned 
Names and Numbers (ICANN). 
Mit ihr würde auch das zentra- 
le Schlüsselmanagement aus- 
gerechnet wieder unter die 
Aufsicht der so heftig kritisier- 
ten USA fallen. 
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Trotzdem seien konkrete Er- 
folge zu verzeichnen, fand Mat- 
thew Sheers von der Internet 
Society, und verwies auf ein 
konkretes Beispiel. Mehrere 
Regierungsvertreter hätten näm- 
lich Interesse gezeigt am Instal- 
lieren von Anycast-Rootserver- 
Instanzen und eigenen Internet 
Exchanges in ihren Ländern. 
Darüber kann zunächst einmal 
lokaler Daten- 


Jan Schallaböck vom Unab- 
hängigen Landeszentrum für 
Datenschutz Schleswig-Hol- 
stein begrüßte den Vorstoß. 
Per DRM lasse sich das 
Grundprinzip des Datenschut- 
zes, die Zweckbindung, sehr 
gut abbilden. Zudem erhalte 
der Nutzer die Kontrolle darü- 
ber, was er tatsächlich dem 
Gegenüber erlaube. Ein Check 
der Prüfsumme auf dem dedi- 
zierten Server des Datenverar- 
beiters soll automatisiert si- 
cherstellen, dass keine anderen 
Operationen stattfinden. Das 
EU-Datenschutzprojekt PRIME 
diskutiere bereits solche Lö- 
sungen, die Datenschützer 
leicht überprüfen könnten, so 
Schallaböck. 


DRM für den 


Datenschutz 


Man solle den DRM-Syste- 
men eine Chance geben, stieß 
Privacy-Experte Davis ins 
gleiche Horn: „Viele Verfah- 
ren sind anfangs komplex, aber 

mit der Zeit und 


verkehr auch auf - durch weitere 
lokalen Servern '4 go ) IGF Verbreitung wer- 
gehalten wer- ICh NS den sie anwen- 
den. An teurer re derfreundlicher 
internationaler und irgendwann 
Konnektivität, sogar unsicht- 


die Entwicklungsländer in der 
Regel von großen US-Back- 
bone-Providern einkaufen, lässt 
sich damit sparen. 

Viel zu wenig ist gerade 
beim Aufbau lokaler Exchanges 
nach der ersten IGF im vergan- 
genen Jahr geschehen, so Bill 
Woodcock, CTO beim Packet 
Clearing House. Das Bewusst- 
sein um die Notwendigkeit ei- 
gener Infrastruktur wachse aber 
etwa bei afrikanischen Regie- 
rungen mit jeder IGF, freute 
sich Nii Quaynor, afrikanischer 
Internet-Pionier und Leiter der 
Registry für Ghana. Der gleich- 
berechtigte Dialog zwischen 
Regierungen, Nichtregierungs- 
organisationen, Techies und 
Unternehmen gilt vielen als ge- 
lungenes Experiment. 

Bei Spezialfragen wie dem 
Datenschutz könnte sich das 
IGF als Impulsgeber erweisen. 
Simon Davis vom der Organi- 
sation Privacy International 
brach in Rio eine Lanze für 
das ungeliebte Digital Rights 
Management (DRM) als mög- 
liche technische Lösung zur 
Sicherung der Privatsphäre im 
Web 2.0. 


bar. Verschlüsselungslösungen 
sind ein gutes Beispiel dafür.“ 

Die IGF-Koalition zu Pri- 
vacy ist die größte von zehn 
solcher „dynamischen Koali- 
tionen“, über 70 Unterneh- 
men, Datenschutzbehörden, 
Universitäten und Nichtregie- 
rungsorganisationen sind mit 
von der Partie. Die gestarteten 
Projekte umfassen neben den 
Überlegungen zum Privacy- 
DRM auch Arbeiten zu Da- 
tenschutz und Überwachung 
und eine Art Creative Com- 
mons System für Datenschutz- 
standards. 

Bei der kleineren dynami- 
schen Koalition „Offene Stan- 
dards“ verwies man in Rio be- 
sonders auf die Fortschritte, 
die man seit dem ersten IGF 
in Athen auf internationaler 
Ebene gemacht habe. Offene 
Standards wurden in die im 
September von einigen Regie- 
rungen verabschiedete ent- 
wicklungspolitische Agenda 
der World Intellectual Proper- 
ty Organisation (WIPO) auf- 
genommen. Eine Harmonisie- 
rung des Patentrechts weltweit 
hat die WIPO dagegen erst 


einmal abgelehnt, berichtete 
Thiru Balasubramaniam von 
Knowledge Ecology Interna- 
tional (KEI). Stattdessen solle 
der zuständige WIPO-Aus- 
schuss Standing Committee 
on Patents (SCP) bis zum 
kommenden Frühjahr einen 
Bericht vorlegen, der die Kos- 
ten des Patentsystems für Ent- 
wicklungsländer beziffert. 

Nach Rio hatten die Free- 
Software-Vertreter den An- 
walt des European Committee 
on Interoperable Standards 
(ECIS), Thomas Vinje, gela- 
den. Er berichtete von der 
zweiten Untersuchung der 
EU-Wettbewerbskommission 
gegen mögliche wettbewerbs- 
feindliche Praktiken des Soft- 
wareriesen Microsoft. Darin 
gehe es vor allem um die 
Privilegierung von Outlook, 
Office und .Net. Der aktuelle 
Streit um die ISO-Standardi- 
sierung von Microsofts 
OOXML habe einen gewissen 
Einflss auf das Brüsseler Ver- 
fahren, meinte Vinje. 


Offene Standards 
überprüfbar 


Ein praktisches Projekt stellte 
Georg Greve von der Free 
Software Foundation Europe 
(FSFE) vor. CertifiedOpen 
soll künftig öffentlichen Ver- 
waltungen erlauben, vor dem 
Einkauf von Software und 
Diensten zu prüfen, ob die ins 
Auge gefassten Angebote auf 
offenen Standards basieren. 
Über CertifiedOpen können 
sich kommerzielle Anbieter 
für 400 Euro pro Produkt zer- 
tifizieren, nichtkommerzielle 
Anbieter nutzen den Dienst 
kostenlos. Die vorgesehene 
Selbsteinstufung lasse sich 
durch die Veröffentlichung 
der von den Anbietern ausge- 
füllten CertifiedOpen-Frage- 
bögen kontrollieren. 

Die FSFE hat mit Certified- 
Open eine erste Antwort auf die 
Frage gegeben, die die dynami- 
sche Koalition „offene Stan- 
dards“ beim IGF noch beant- 
worten muss: Welche Kriterien 
müssen erfüllt sein, damit man 
überhaupt von einem offenen 
Standard reden kann? Man 
möchte gerne eine von mög- 
lichst vielen Parteien getragene 
Definition, daran werde noch 
gefeilt. Im kommenden Jahr, 
beim nächsten Treffen in Delhi, 
dürfte es sie geben. (un) 
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MARKT + TRENDS 


E-Government 


11 Jahre „Moderner Staat” 


Bundeskunden 


Barbara Lange 


Die Verwaltungen müssen sich umstellen, denn die 
Zukunft heißt „One-Stop-Government”: Bald wird es nur 
noch einen Ansprechpartner für EU-Dienstleistungen 
und eine Behördenrufnummer 115 für alles geben. 


uropaweit soll der in Fach- 

kreisen sprichwörtliche por- 
tugiesische Friseur ab Ende 
2009 seine Dienstleistung mit- 
hilfe eines einzigen Ansprech- 
partners anmelden können. 
Außerdem müssen die Behör- 
den das gesamte Verfahren 
elektronisch abwickeln — eine 
Aufgabe, die den Behörden der- 
zeit auf den Nägeln brennt, und 
der man sich mit großer Demut 
nähern sollte, so Harald Lemke, 
Staatssekretär im Hessischen 
Ministerium der Finanzen, auf 
einer Podiumsdiskussion im 
Rahmen der 11. Fachmesse und 
des Kongresses „Moderner 
Staat“ Ende November auf dem 
Berliner Messegelände. 

Auch die Einführung der 
bundesweit einheitlichen Behör- 
denrufnummer 115, die ab 2008 
in einigen Modellregionen ge- 
testet werden soll, heißt One- 
Stop-Government. Hier sollen 
Bürger — man will sie dem- 
nächst Kunden nennen —, Unter- 
nehmen und Institutionen künf- 
tig alle Ämter des Landes unter 
einer zentralen Einwahlnummer 
erreichen können. Während es 
für Unternehmen und Bürger ei- 
ne große Erleichterung ist, wenn 
sie für ein Anliegen nicht mehr 


an mehrere Amtsstuben klopfen 
müssen, widerspricht diese Zen- 
tralisierung der föderalen Ver- 
waltungsstruktur, in der Behör- 
den aus Bund, Ländern und 
Kommunen überwiegend iso- 
liert vor sich hin werkeln. 

Daher gilt die Umsetzung 
beider Vorgaben — der EU- 
Dienstleistungsrichtlinie (EU- 
DLR) und der Behördenruf- 
nummer 115 - als große 
Herausforderung, und für die 
Zusammenarbeit der einzelnen 
Behörden entsteht ein immenser 
Regelungsbedarf, ein Umbau 
der Verwaltung, für den die 
Verantwortlichen derzeit Plä- 
ne mit Zuständigkeiten et ce- 
tera erarbeiten. 


IT-Blaupause 
bis 2008 


Die Redner der Podiumsdiskus- 
sion zeigten sich skeptisch, ob 
diese Anforderung im geforder- 
ten Zeitrahmen umzusetzen ist, 
angesichts des Gefühls, mit Lat- 
schen vor einer Bergwand zu 
stehen (Lemke). 

Eine große Rolle bei der 
Vereinheitlichung dieser hetero- 
genen Prozesse spielt die IT. 


DeepSec 2007: Erfolgreiches Debüt in Wien 


„Bringing together the world’s 
leading security professionals 
from academics, government, 
industry and the underground 
hacking community“ Unter die- 
sem Motto öffnete die Sicher- 
heitskonferenz DeepSec (deep 
sec.net) im November in Wien 
zum ersten Mal ihre Pforten. 
Mariano Nuäez Di Croce refe- 
rierte in seinem Tutorial über 
die (Un-)Sicherheit von SAP- 
Systemen. Er zeigte einen soge- 
nannten Evil-Twin-Angriff auf 
SAP-Server, bei dem gezielt 
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Remote Function Calls (RFCs) 
über das System des Angreifers 
umgeleitet wurden. 

In seiner Keynote am ersten 
Tag erläuterte Paul Simmonds 
vom „Jericho Forum“, wie 
überflüssig die Klassischen 
Schutzmaßnahmen an den Netz- 
werkgrenzen seien. In Zeiten, in 
denen immer mehr Löcher an 
dieser Grenze existieren und bei 
vielen Unternehmen nahezu 
mehr externe als interne Mitar- 
beiter Zugang zum Netzwerk 
haben, stellt sich immer öfter 


Ein technisches Konzept für 
die IT-Infrastruktur und die 
Rahmen-Architektur der EU- 
DLR will man als „Blaupause“ 
bis Ende 2008 entwickelt ha- 
ben. Ziel ist eine medienbruch- 
freie Verfahrensabwicklung 
mit hersteller- und produktneu- 
tralen Lösungen. Dabei kann 
man aber nicht davon ausge- 
hen, dass im Prinzip alle IT-In- 
formationssysteme schon da 
sind, die man einfach nur neu 
zusammenfügen muss, beton- 
te Marianne Wulff, Kommuna- 
le Gemeinschaftsstelle für Ver- 
waltungsmanagement (KGSt). 
Insgesamt aber war die 
Stimmung der Branche positiv: 
Oft hörte man den Verweis 
auf den E-Government-Status- 
bericht der EU-Kommission, 
wonach Deutschland auf Platz 
10 vorgerückt sei. Der Inter- 
net-Auftritt des Bundestages 
(www.bundestag.de) wurde so- 
gar kürzlich von der UNESCO 
als beste E-Government-Web- 
site der Welt ausgezeichnet. 
Und es gab mit über 3500 
(300 mehr als im Vorjahr) 
Teilnehmern einen Besucher- 
rekord, wie Veranstalter Reed 
Exhibitions meldete. Über 70 
Prozent der Teilnehmer waren 
Entscheidungsträger aus Bund, 
Ländern und Kommunen. 
Darüber hinaus registrierten 
die 200 Aussteller von A wie 
Accenture über M wie Micro- 
soft bis Z wie ZIVIT ein ver- 
stärktes Interesse der Besucher 
an E-Government, Personal- 
management und dem Dauer- 
brenner IT-Sicherheit, der wie 
schon im letzten Jahr als The- 
menschwerpunkt mit Firmen- 
vorträgen und einer vom BSI 
gestalteten Kongress-Session 
gut abgedeckt war. 
Dort gaben Referenten aus 
dem BSI einen Überblick über 


die Frage nach der Sinnhaftig- 
keit eines solchen Schutzes. 
Vielmehr müsse sich der Schutz 
nicht auf die Geräte oder Netze, 
sondern auf die dort verarbeite- 
ten Daten konzentrieren. 

Lukas Grunwald referierte 
über Designschwächen beim 
elektronischen Reisepass (ePass). 
Einen weiteren Beitrag zum 
Thema RFID lieferte Melanie 
Rieback, die mit „RFID Guar- 
dian“ eine Art aktiven Schutz- 
schild für die Funktechnologie 
vorstellte. RFID Guardian soll 


ihr Amt, die Sicherheitslage, 
die „Sichere Inter-Netzwerk- 
Architektur“ (SINA) und über 
die virtuelle Poststelle des 
Bundes, die die elektronische 
Kommunikation zwischen Be- 
hörden und externen Partnern 
kryptografisch absichern soll. 
Derzeit arbeitet man hier an 
einer Out-of-the-Box-Lösung, 
die auch kleinere Behörden mit 
geringen IT-Kapazitäten vor- 
konfiguriert einsetzen können. 


Auto online anmelden 
und CO, reduzieren 


Vorgestellt wurde auch das 
Deutschland-Online-Projekt zum 
Kfz-Wesen. Bürger alias Kun- 
den und Unternehmen sollen in 
Zukunft Fahrzeuge online vom 
PC aus anmelden können — um 
Kosten zu sparen, aber auch, da- 
mit es diese Infrastruktur auf- 
grund der demografischen Ent- 
wicklung auch in Zukunft noch 
flächendeckend gibt, so Detlef 
Gottschalck, Staatsrat der Han- 
sestadt Hamburg. Darüber hin- 
aus verfahren potenzielle Au- 
tohalter schätzungsweise eine 
Milliarde Kilometer im Jahr al- 
lein für die Zulassung. 

Einen großen Stellenwert 
bekamen auch Themen jenseits 
der reinen Technik, hier be- 
sonders die Podiumsdiskussion 
„Neue Wege in der Personal- 
führung — Braucht die Verwal- 
tung eine neue Führungskul- 
tur?“, an der unter anderem 
Schirmherr Bundesinnenminis- 
ter Schäuble gleich nach seiner 
Auftaktrede teilnahm. 

Der 12. „Moderne Staat“ 
findet am 4. und 5. November 
2008 in Berlin statt. Angekün- 
digt sind größere Messehallen 
und eine noch stärker themen- 
orientierte Struktur. (ur) 


— mitgeführt als Gerät in der 
Größe eines Mobiltelefons — 
das unbefugte Auslesen von 
RFID-Tags des Trägers verhin- 
dern. Weiterhin soll es Lese- 
versuche protokollieren und 
somit auch als eine Art Intru- 
sion-Detection-System (IDS) 
für RFID einsetzbar sein. An- 
gesichts der erfolgreichen Ver- 
anstaltung darf man erwarten, 
dass auch im kommenden Jahr 
wieder eine aufschlussreiche 
DeepSec stattfindet. 

Marco Lorenz 
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MARKT + TRENDS 


Internet-Konferenz 


Interop für europäischen Markt: 


Rundumschlag 


Barbara Lange 


Mit einem großen Themenspektrum von IT-Sicherheit 
bis zur Breitbandversorgung trat die Konferenz und 

Ausstellung Interop zum ersten Mal auf dem Berliner 
Messegelände an. Vielleicht auch zum letzten Mal? 


FW der Fachtagung IT-Si- 
cherheit gaben Vertreter 
von McAfee, Eleven und Reta- 
rus einen Überblick über die 
Bedrohungslage. Demnach sind 
nach wie vor E-Mails der größte 
wunde Punkt der IT-Sicher- 
heit, und Spam ist nach An- 
sicht aller zu einem knallharten 
lukrativen Geschäftsmodell ge- 
worden. Zum Beispiel Aktien- 
Spam. Als Folge derart „bewor- 
bener“ Wertpapiere steigen die 
Kurse kurzfristig stark an, zeig- 
te Andreas Beierer von Eleven. 
Mittlerweile sind nur noch 
klägliche fünf bis sieben Pro- 
zent des E-Mail-Aufkommens 
als geschäftsrelevant zu be- 
zeichnen, während der über 
90-prozentige, zunehmend über 
Botnetze verbreitete Müll die 
Stabilität der IT-Infrastruktu- 
ren gefährdet. Dabei haben 
seriös aussehende PDF-, Excel- 
und ZIP-Anhänge das Spam- 
Spektrum erweitert. 


BSI: Gezielte 
Angriffe nehmen zu 


Einen Anstieg der Wirtschafts- 
spionage über IT-Wege beklag- 
te Udo Helmbrecht, Präsident 
des Bundesamts für Sicherheit 
in der Informationstechnologie 
(BSD) in seinem Vortrag „Sta- 
tus Quo der IT-Sicherheit in 
Deutschland“. Besondere Sorge 
bereiten ihm gezielte Angriffe, 
die Unternehmen und Behörden 
lahmlegen. Das Sicherheitsbe- 
wusstsein in den öffentlichen 
Verwaltungen sei nicht ausrei- 
chend, kritisierte er. Derzeit ar- 
beiten BSI und Wirtschaft an 
der Umsetzung des „Nationalen 
Plans zum Schutz der Informa- 
tionsinfrastrukturen“. 

Gut besucht war das Live- 
Hacking von Sebastian Schrei- 
ber von Syss GmbH, der zeig- 
te, wie sich systemimmanente 
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Schwachstellen auswirken kön- 
nen: Da wurde ein trojanerver- 
seuchtes Handy zur Abhörwan- 
ze und gab den Aufenthalt des 
Handy-Besitzers bekannt, ein 
Babyphone spähte drahtlose 
Überwachungskameras aus. 
Mit einfachen URL-Manipu- 
lationen im Warenkorb von 
Onlineangeboten korrigierte er 
den Preis nach unten. E-Com- 
merce ist und bleibt unsicher, 
so sein Fazit. 


Interop - wie weiter? 


Mit der weltweit in Las Vegas, 
New York, Tokio, Moskau und 
Sao Paulo und Anfang Novem- 
ber zum ersten Mal in Berlin 
ausgerichteten Interop wollten 
die Veranstalter die spezifischen 
Bedürfnisse des europäischen 
Marktes ansprechen. Mit 10 000 
Besuchern hatte man gerechnet. 
So viele waren es sicher nicht — 
wie viele genau, bleibt das Ge- 
heimnis der Veranstalter, die bis 
Redaktionsschluss drei Wochen 
nach dem Event trotz mehrmali- 
gen Nachfragens keine Aus- 
künfte über Teilnehmerzahl und 
Fortsetzung geben konnten. 
Vielleicht war das Themen- 
spektrum so kurz nach der 
Münchener Systems zu groß. 
So gab es neben der Fachtagung 
IT-Security einen Fachkongress 
zur Planung und Implementie- 
rung von IP-Telefonie-Infra- 
strukturen, eine Fachtagung Wi- 
reless & Mobility, die sich mit 
der Verknüpfung von Mobil- 
funk und WLAN beschäftigte, 
den „Baltic Broadband Day“ 
über die Versorgung von länd- 
lichen Regionen in Europa mit 
Breitbandanschlüssen und die 
Microsoft-Fachtagung „Appli- 
cation Interoperability“. Dazu 
Keynotes von Avaya, Cisco, Ci- 
trix, Hewlett-Packard und Mi- 
crosoft sowie eine Ausstellung 
mit 140 Unternehmen. (ur) 
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MARKT + TRENDS 


World Wide Web 


PHP-/Ajax-Konferenz: Von Agilität bis Mashups 


Familıäar 


Stefan Priebsch 


international 
PHP2O007 
conference 


Dass das Potenzial der Skriptsprache PHP noch nicht 
erschöpft sei, war eine der guten Nachrichten auf der 
PHP-Konferenz im November. 


um zwölften Mal fand An- 

fang November in Frank- 
furt-Mörfelden die International 
PHP Conference (IPC) statt — 
gleichzeitig die dritte „Ajax in 
Action“, die die Open Source 
Database Conference als ständi- 
gen Begleiter der IPC abgelöst 
hat (zusammen 350 Besucher 
aus 22 Ländern). Zwei Tage vor 
dem Beginn der Hauptkonfe- 
renz liefen Workshops; auf das 


größte Interesse stießen agile 
Entwicklungsmethoden sowie 
das Testen mit PHPUnit und 
Selenium. Weitere Themen- 
schwerpunkte waren die Quali- 
tätssicherung, das Testen sowie 
Werkzeuge und Automation. 
Ausblicke auf die Zukunft 
gaben die beiden Typo3-Ent- 
wickler Robert Lemke und 
Karsten Dambekalns. Sie zeig- 
ten mit einem Vortrag zur as- 


CMS: Days Communique und 
Alfresco mit Web-2.0-Anbindung 


Day Software (www .day.com) 
stellt mit ihrem CMS Commu- 
niqu& Avanced Collaboration 
(CQ AC) eine Variante zur Ver- 
fügung, die die Verwaltung so- 
genannter Social Media erlaubt: 
Wiki, Blog und Kalender — mit 
Ajax-Mitteln realisiert. Für Wi- 
ki und Blog existiert ein Rich- 
Text-Editor, Inhalte indiziert 
Communique& fortlaufend (Voll- 
textsuche), und Anwender kön- 
nen sich über Wiki-Änderungen 
per E-Mail informieren lassen. 
Mit neuen Werkzeugen für 
ihr gleichnamiges Enterprise 
Content Management System 


Widgets: Mit Version 4.5 sei- 
ner Widget Engine unterstützt 
Yahoo in seinen Minipro- 
grammen Flash und HTML. 
Außerdem verzichtet Yahoo 
auf die Bezeichnung „Engine‘ 
und nennt seine Werkzeugkis- 
te nur noch Yahoo Widgets 
(widgets.yahoo.com/upgrade/). 


< 


Wissensmanagement: 
Meta-Level aus Saarbrücken 
(www .meta-level.de) hat in 
der Version 4.4.0 ihres web- 
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(ECMS) will Alfresco Software 
Web-2.0-Dienste und Tools an- 
bieten (www.alfresco.com). Zu 
den Integrationskandidaten ge- 
hören Facebook, iGoogle, Ado- 
bes Flex und Wordpress. Die 
sogenannte Social-Computing- 
Plattform enthält laut Alfresco 
ab Mitte Dezember Tools für die 
Anbindung der genannten Web- 
2.0-Vertreter. Das ECMS selbst 
soll außer der Einbeziehung von 
Facebook et al. ermöglichen, In- 
halte für externe Anwendungen 
wie Media Wiki oder Word- 
press zu erzeugen und mit Flex 
Mashups zu entwickeln. 


basierten Dokumenten- und 
Wissensmanagementsystems 
Meta-Dok die Suchfunktio- 
nen erweitert und den Be- 
reich des Administrators 
überarbeitet. 


CMS: E-Spirit (www .e-spirit. 
de) hat sein CMS FirstSpirit 
in der Version 4 vorgestellt, 
deren Neuerungen vor allem 
in umfangreichen Projekten 
zum Tragen kommen sollen. 
Unter anderem hat der Her- 
steller die Versionierung 
überarbeitet. Außerdem hat er 
für Redakteure neue Funktio- 
nen eingebaut. 


pektorientierten Programmie- 
rung und einem Erfahrungsbe- 
richt zur Implementierung eines 
JSR-283 Content Repository in 
PHP, dass das Potenzial der 
Sprache noch nicht erschöpft ist. 


Hin zu Aspekten und 
Content Repository 


Ajax in Action deckte eine gro- 
ße Themenbandbreite von den 
Grundlagen der Entwicklung 
über das Erstellen einer Off- 
line-Anwendung bis hin zu 
Mashups und Usability-Tests 
ab. Dabei kamen verschiedene 
Techniken wie Ruby on Rails, 
Silverlight, Flex und ASP.Net 
zu ihrem Recht. 

Nicht nur die Sessions, son- 
dern auch die Keynotes waren 
mit prominenten Sprechern be- 
setzt. Der Kanadier Zak Greant 
stellte unter dem Titel „The 
Age of Literate Machines“ die 
These auf, dass durch den Ein- 


satz von nicht quelloffener 
Software im Rechtssystem die 
Transparenz von Gerichtsurtei- 
len verloren geht, und dies ei- 
nen Rückschritt gegenüber der 
Dokumentation auf Papier be- 
deutet. Für die Zuhörer drängte 
sich eine gedankliche Parallele 
zu Wahlmaschinen und -stiften 
förmlich auf. 

Ein wirkliches Manko der 
Konferenz sind die immerwäh- 
renden Schwierigkeiten mit der 
schlechten Internetanbindung. 
Deshalb soll sich 2005 sogar 
die Release einer PHP-Version 
verschoben haben, da das Gros 
der Entwickler auf der Kon- 
ferenz zu Gast war und nur 
eingeschränkten Onlinezugang 
hatte. Dafür gibt es auf kaum 
einer Konferenz wie dieser ei- 
nen so offenen Austausch zwi- 
schen den PHP-Entwicklern 
und der Community. Kein 
Wunder, dass die Konferenz 
mittlerweile als „Familientref- 
fen“ gilt. (hb) 


Wikipedia vs. Brockhaus 


Ob Wikipedia, die von vielen 
Freiwilligen erstellte Online-En- 
zyklopädie, gegen die ständig 
aktualisierte Onlineversion des 
Brockhaus bestehen könne, 
wollte der „Stern“ wissen und 
ließ anhand von 50 zufällig aus- 
gewählten Stichwörtern beide 
Nachschlagewerke vom Wis- 
senschaftlichen Informations- 
dienst (Köln, www.wind-gmbh. 
com) untersuchen. Die Einträge 
waren thematisch breit gestreut 
— von Politik über Sport und 
Wirtschaft bis Unterhaltung. 
Beim Wettstreit zwischen 
Community und Profis schnitt 
Erstere erheblich besser ab. Mit 
einer Gesamtnote von 1,7 lag 
Wikipedia deutlich vor dem 
Brockhaus mit 2,7. Bei 43 der 
50 Artikel bekam Wikipedia 
die bessere Note, sechsmal lag 
der Brockhaus vorn; einmal gab 


es ein Unentschieden. Vor al- 
lem hinsichtlich der Aktualität 
überzeugte die Community: 
Beim Todesdatum von Lucia- 
no Pavarotti oder der Nobel- 
preisverleihung an Doris Les- 
sing war Wikipedias Eintrag 
im Gegensatz zu dem des 
Brockhaus jeweils am selben 
Tag aktualisiert. Zwar lag die 
Profi-Enzyklopädie vorn, was 
Verständlichkeit angeht, aber 
selbst bei Korrektheit hatte 
Wikipedia die Nase vorn. 
Vor zwei Jahren hatte die 
US-Zeitschrift „Nature“ die 
englischsprachige Wikipedia 
mit der Encyclopedia Britanni- 
ca verglichen und war nach ei- 
nem Vergleich von 42 Artikeln 
aus beiden zu dem Schluss ge- 
kommen, dass die Encyclope- 
dia Britannica zwar besser als 
Wikipedia sei — aber nicht viel. 


Googles Handyplatiform Android 


Wie angekündigt (iX berichte- 
te), hat Google im November 
eine erste Version seines Soft- 
ware Development Kit für die 
geplante Handy-Software-Platt- 
form Android zum Download 
freigegeben. Sie basiert auf dem 
Linux-Kernel 2.6 und enthält au- 
Ber einer Java-VM weitere Soft- 
ware: von der libc-Bibliothek 
über die aus dem KDE-Projekt 
stammende Browser Engine 


WebKit und eine 2D-Grafik- 
Engine bis hin zu SQLite. 

Google forciert die Entwick- 
lung von Android-Anwendun- 
gen und hat im November mit 
einer Developer Challenge ge- 
nannten Aktion 10 Mio. US- 
Dollar für Anwendungen ausge- 
lobt, bei der es zwischen 25 000 
und 275.000 $ zu gewinnen gibt 
(siehe code.google.com/andro- 
id/adc.htm]). 
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MARKT + TRENDS 


Diverses 


iPhone als Visualisierungs-Endgerät 


Topix, Anbieter der gleichna- 
migen, für Mac und Windows 
verfügbaren Unternehmens- 
software, hat auf der Maclive 
Expo (siehe S. 17) erstmals 
die Komponente Analytik-Re- 
port vorgestellt. Damit lassen 
sich Auswertungen von Auf- 
trags- und ähnlichen Daten 
bereichs- und zeitübergreifend 
erstellen und visualisieren. 
Die Ottobrunner Firma prä- 
sentierte zudem, wie sich das 
iPhone als nützliches Endgerät 
in die Unternehmenssoftware 
einbinden lässt. In der Grund- 
version des iPhone-Clients 
Topix:5 (im Beta-Status ver- 
fügbar) lassen sich vertriebs- 
relevante Adressen, Termine, 
Aufgaben, Wiedervorlagen et 
cetera bearbeiten. Der Um- 
fang geht deutlich über das 
gewöhnliche Adress- und Ter- 
minmanagement des iPhone 
hinaus. In Vorbereitung sind 
zudem in weiteren Ausbaustu- 
fen des iPhone-Clients Funk- 
tionen zum Jobmanagement 
einschließlich Arbeitszeiten 


und Reisekosten. Selbst die 
direkte _Angebotserstellung 
und ein Überblick über die ge- 
samte aktuelle Auftragsab- 
wicklung sollen künftig über 
das neue Apple-Gerät möglich 
sein. 

Topix basiert wie weitere in 
Köln vorgeführte Produkte (et- 
wa die Warenwirtschaft Busi- 
ness Open von Gubus, die 
CRM-Lösung deLuxe von 
Fuchs EDV und Masterfinanz) 
auf 4D. Der Hersteller selbst 
gewährte erste Einblicke in die 
nun verfügbare Entwickler-Pro- 
duktreihe der Version 11. Kern 
ist eine Datenbank-Engine, mit 
der sich die zuvor eher ge- 
schlossene Plattform erstmalig 
für eine direkte SQL-Unter- 
stützung Öffnet. Traditionelle, 
in der 4GL von 4D geschriebe- 
nen Anwendungen sind in die- 
ser Version noch lauffähig. Mit 
der Version 12, die den voll- 
ständigen Wechsel zur Objekt- 
orientierung dokumentieren 
soll, scheint dies nicht mehr 
der Fall sein. Achim Born 


Entwurf für neue Musterwiderrufsbelehrung 


Nachdem mehrere Gerichtsur- 
teile die gesetzliche Muster- 
widerrufsbelehrung aus der 
BGB-Informationspflichtenver- 
ordnung für teilweise rechts- 
widrig erklärt haben, hat das 
Bundesjustizministerium im 
November einen Entwurf zu 
einer neuen Fassung vorgelegt. 
Strittig in der alten Version 
waren vor allem Beginn und 
Dauer der Widerrufsfrist. Zwar 
sind in der Neufassung Teile 
der kritisierten Passagen umge- 
schrieben, doch löst sie längst 
nicht alle Probleme. Insbeson- 
dere monieren Juristen die aus- 


Geschäftsmodell: Ein 
Team der Georg-August- 
Universität Göttingen hat 
den erstmalig durchgeführ- 
ten Bitkom-Hochschulwett- 
bewerb „Beste Prozessar- 
chitektur“ gewonnen. Auf 
Platz zwei folgt ein gemein- 
sames Team der Uni Pots- 
dam und des Hasso-Platt- 
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geweiteten Informationspflich- 
ten, denen zufolge ein Online- 
händler seinen Kunden zahlrei- 
che Vorschriften aus dem BGB 
und der BGB-InfoV im Voll- 
text mitteilen muss. Eine 
rechtsgültige Widerrufsbeleh- 
rung müsse nach diesem Ent- 
wurf nicht weniger als 12 000 
Zeichen umfassen, kritisiert 
Joerg Heidrich, Justiziar des 
Heise-Zeitschriftenverlages. Das 
entspricht fast zwei Druckseiten 
in einer Heise-Publikation. Der 
Entwurf ist unter www.bmj. 
bund.de/files/-/2550/ einzu- 
sehen. 


ner-Instituts, Platz drei 
erklommen Studenten der 
Leibniz-Uni Hannover. 


Auftrieb: Für 2008 prognos- 
tiziert das Marktforschungs- 
unternehmen Gartner in 
Deutschland einen Zuwachs 
von 5,9 % bei den Ausgaben 
für Unternehmenssoftware. 
Die Analysten rechnen mit 
Umsätzen in Höhe von 2,2 
Mrd. Euro für CRM-, ERP- 
und SCM-Anwendungen. 


Model Driven Architecture: 
MID modelliert das Wachstum 


Modellierung soll den Soft- 
ware-Entwicklungsprozess ein- 
facher gestalten. Model Dri- 
ven Architecture (MDA) und 
Unified Modeling Language 
(UML) gelten bei Marktanalys- 
ten wie Gartner als Schlüssel- 
technologien, die Eigenent- 
wicklungen Zukunftssicherheit 
und Wiederverwendbarkeit ein- 
hauchen. Den Schwung will 
die in Nürnberg ansässige 
MID GmbH dafür nutzen, 
künftig stark zu wachsen. 
Das unterstrich am Rande der 
diesjährigen Anwenderkonfe- 
renz Insight’07 der geschäfts- 
führende Gesellschafter Wolf- 
gang Dietrich. Im neuen Jahr 
strebt man ein Plus von 20 % 
an. Das bislang vornehmlich 
in hiesigen Gefilden tätige 
Unternehmen will zudem die 
internationale Präsenz ver- 
stärken. Zukäufe kleinerer 
Beratungshäuser oder Tool- 
Anbieter schließt Dietrich ex- 
plizit ein. 

MID ist im MDA-Markt 
mit der Modellierungsplatt- 
form Innovator aktiv, die 
UML zur durchgängigen No- 
tation vom Geschäftsprozess- 
modell bis zum Systemdesign- 
modell nutzt. Das Werkzeug 
kann die Domain Specific 
Language (DSL) in Form von 
UML2-Profilen darstellen. 
Auf diese Weise wird die Uni- 
versalität der UML auf das 
fachliche Konzept eines aus- 
gewählten Anwendungsbe- 
reichs zugeschnitten. Ein wei- 
terer Stellhebel, den Weg 


vom Geschäftsprozess zum 
servicebasierten Entwurf oder 
Programmcode zu beschleuni- 
gen, ist die MID-eigene Mo- 
dellierungs-Methodik M3. Sie 
beschreibt systematisch die 
einzelnen Prozessschritte, 
Modellierungsebenen und 
Rollen. Laut Dietrich gibt die 
Modellierungsmethodik ein- 
schließlich Vorgehensmodell 
häufig den Ausschlag, Inno- 
vator einzusetzen. 

Rund 300 „aktive“ Anwen- 
derfirmen mit insgesamt rund 
10 000 Nutzern modellieren 
mit Innovator. Vertreter der 
BA oder Deutschen Telekom 
referierten auf der Nürnberger 
Veranstaltung, wie sie die 
Plattform dafür nutzen, auf ei- 
ne serviceorientierte Architek- 
tur (SOA) hinzuarbeiten. Die 
modellhafte Beschreibung der 
Geschäftsprozesse bis zur An- 
wendungsarchitektur und IT- 
Service stellen spezifische 
Sichten der im Innovator-Re- 
pository verwalteten jeweiligen 
Modelle dar. Über Mapping- 
Techniken lassen sich fachli- 
che Prozessmodelle aus Aris 
von IDS Scheer einbinden. Seit 
Kurzem ist auch der Austausch 
von Metadaten mit Centrasite 
der Software AG möglich. 
Durch dieses Integrationssze- 
nario können sämtliche Infor- 
mationen einer SOA aus der 
Design-Umgebung, also Inno- 
vator, in die SOA-Registry/ 
Repository-Umgebung wech- 
selseitig zur Verfügung gestellt 
werden. Achim Born 


TDM: Transaktionsmanagement 


mit GoldenGate 


Die TDM-Plattform (Transac- 
tional Data Management) 
GoldenGate des gleichnami- 
gen Anbieters ist in der Ver- 
sion 9.5 verfügbar. Mit den 
Lösungen können Unterneh- 
men ihre Transaktionsdaten in 
Echtzeit und über verschiede- 
ne IT-Umgebungen hinweg 
erfassen, weiterleiten, trans- 
formieren, bereitstellen und 
überprüfen. Die Software be- 
steht aus Einzelkomponenten 
(Capture, Trail Files, Delive- 
ry), die ihre Aufgaben unab- 
hängig voneinander durchfüh- 
ren und zu verschiedenen 
Hochverfügbarkeits- und Da- 


tenintegrationslösungen zu- 
sammengefügt werden kön- 
nen. Die neue Version ist um 
die Unterstützung von Unter- 
nehmensanwendungen wie 
Oracles E-Business Suite, Peo- 
plesofts Enterprise, Siebel-, 
JD-Edwards- sowie SAP-Pro- 
dukte erweitert worden. Auch 
soll die Replikation von nicht 
datengebundenen Objekten 
möglich sein, eine Erleichte- 
rung für die Datenbankver- 
waltung, da sich etwa Anwen- 
der einfacher hinzufügen oder 
gespeicherte Vorgänge auf 
die Zieldatenbank übertragen 
lassen. Susanne Franke 
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MARKT + TRENDS 


Standardsoftware 


SAP ERP Upgrade: Technik zuerst 


Über die Höhe der Wartungs- 
kosten möchte SAP ihre Kun- 
den dazu bewegen, endlich auf 
die jüngsten ERP-Versionen 
umzusteigen. Gemäß Release- 
Plan hat für R/3 4.6B und frü- 
here Versionen bereits die Zeit 
der kundenspezifischen War- 
tung begonnen. R/3 4.6C be- 
findet sich seit 2007 ebenfalls 
in der erweiterten Wartung 
und wird ab 2010 nur noch 
kundenspezifisch unterstützt. 
Aufgrund der Support-Poli- 
tik des Walldorfer Software- 
hauses schien für den deut- 


schen Markt eine Upgrade- 
Welle in den Jahren 2007/2008 
wahrscheinlich. Nach Prog- 
nose des Marktanalyse- und 
Beratungsunternehmens PAC 
wird diese Welle ihren Höhe- 
punkt allerdings erst 2009 er- 
reichen — sowohl beim Markt- 
volumen wie auch bei der 
Anzahl der Projekte. Einen 
entscheidenden Einfluss hat 
dabei die Entwicklung der 
verschiedenen Upgrade-Arten. 
Zurzeit führen die Unterneh- 
men laut PAC vornehmlich 
technische Upgrades durch. 


Die Zahl der funktionalen und 
strategischen „Aufstiege“ wird 
erst 2009 die der technischen 
überschreiten. Die Anwender 
erneuern zunächst einmal die 
systemtechnische Basis ihrer 
Anwendungssoftware und füh- 
ren erst in Folgeprojekten neue 
Funktionen oder Geschäftspro- 
zesse ein. Letztgenannte Ar- 
beiten sind deutlich aufwendi- 
ger und damit kostspieliger. 
Das von den PAC-Analysten 
prognostizierte Verhältnis von 
Projektanzahl zu -ausgaben be- 
legt den beschriebenen Ablauf. 


u | | 
u | RR: Br undepeaiche 
R/3 4.6C er degli i | 
R/3 3.11-4.6B K dep I | 


2005 : 2006 : 


Onlinedienste: Ab Dezember 
ist Sage hierzulande im SaaS- 
Geschäft (Software as a Ser- 
vice) aktiv. Für 21 Euro pro 
Monat gibt es SageCRM im 
Mietbetrieb. Die webbasieren- 
de CRM-Lösung verfügt über 
Funktionen zum Erstellen von 
Umsatzprognosen und Berich- 
ten, zum Kampagnenmanage- 
ment und zum Steuern von 
Werbemaßnahmen. Sie lässt 
sich mit Outlook synchronisie- 
ren und in die Office Line von 
Sage integrieren. 


Kombipack: Unter dem Na- 
men PM 10 kündigt Infor sei- 
ne erste integrierte Perfor- 
mance-Management-Suite 
(PM) an. Sie vereint die An- 
wendungen der übernomme- 
nen Firmen Extensity MPC 
und die Analyse-Funktionen 
von Systems Union MIS. PM 
10 umfasst das strategische 
Management, Planung und 
Budgetierung, Prozesse zur 
Rechnungslegung, Finanz- 
konsolidierung sowie Progno- 
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2007 | 


2010 ; 2001 | 


2009 | 


2008 } 


sen. Einige Komponenten der 
Suite, die unter Windows und 
Office läuft, lassen sich sepa- 
rat einsetzen. 


Aufgepeppt: Das Berliner 
Softwarehaus Inubit hat die 
Release 5.0 ihrer gleichnami- 
gen BPM-Suite freigegeben. 
Neu eingebaut ist beispiels- 
weise ein Portalserver, der dem 
Portlet-Standard JSR168 folgt. 
Der Server stellt Monitoring- 
Ergebnisse, etwa Kennzahlen 
(KPIs), Drill-Down-Reports 
und Soll-Ist-Vergleiche in 
Portlets dar. Die fachliche Mo- 
dellierung der Geschäftspro- 
zesse lässt sich nun BPMN- 
konform (Business Process 
Modeling Notation) erledigen. 


Partnerschaft: Die Software 
AG schloss eine OEM-Lizenz- 
vereinbarung mit Cognos. Sie 
sieht vor, dass das Darmstädter 
Unternehmen Cognos 8 Bl als 
Berichts- und Analyse-Stan- 
dard in die künftigen Versio- 
nen seiner Webmethods-Suite 
integriert. IBMs Absicht, Cog- 
nos zu übernehmen, hat angeb- 
lich keine Auswirkungen auf 
den Deal. 


2012 ; 2013 | 


2014 E 2015 : 2016 i 


Ausgebaut: SER erweiterte 
seine ECM-Suite (Enterprise 
Content Management) um 
ein Archivierungsmodul. 
Über einen Admin-Client 
unterstützt der Doxis File- 
manager die regelbasierte 
Archivierung sowohl aus 
dem Dateisystem als auch 
aus Microsofts Exchange und 
Sharepoint heraus. Das Ver- 
lagern der Dateien auf güns- 
tigen Speicherplatz lässt sich 
so automatisieren. Der Ver- 
weis auf die verschobenen 
Daten bleibt im Dateisystem 
sichtbar. 


Mehr Cobol: Nachdem Mi- 
cro Focus kürzlich sein Co- 
bol-Entwicklungssystem für 
Windows — Net Express — für 
Eclipse freigegeben hat, ist 
nun auch die Server Express 
für die freie Werkzeugplatt- 
form erhältlich. Damit lassen 
sich Cobol-Anwendungen auf 
Unix- und Linux-Systemen 
erstellen. Im nächsten Jahr 
will Micro Focus auch die 
Mainframe Express Enter- 
prise Edition in den Eclipse- 
Reigen einbringen. 


Winterzeit 
bei Salesforce 


Mit der Winter-08-Release gab 
Salesforce.com die 24. Genera- 
tion ihrer On-demand-CRM- 
Software frei. Das Angebot 
enthält nun auch die Entwick- 
lungsumgebungen Force.com 
und Visualforce. Force.com ist 
ein gehosteter Dienst (Plat- 
form-as-a-Service, PaaS), auf 
dessen Basis ein Entwickler 
Anwendungen „on-demand“ 
erstellen können soll. Und mit 
Visualforce peppt er das Design 
der Applikationen via HTML, 
Ajax und Flex auf. Neben den 
bislang vier etablierten CRM- 
Programmen bringt die neue 
Version zwei zusätzliche, Web- 
2.0-affine Anwendungen mit: 
Salesforce Content bietet Funk- 
tionen wie Tagging (Verschlag- 
wortung), Subscription (Abon- 
nement) und Recommendations 
(Kommmentierung Dritter), zu 
dem Zweck, Dokumente und 
unstrukturierte Daten online zu 
bearbeiten. 


SoftM übernimmt 
KTW-Teile 


SoftM hat vom Masseverwalter 
der insolventen KTW den Zu- 
schlag für den Erwerb der Ver- 
mögenswerte im Geschäftsbe- 
reich Semiramis erhalten. Durch 
diesen Schritt wollen die Mün- 
chener den Support für Unter- 
nehmen gewährleisten, die ihre 
ERP-Software über KTW be- 
zogen haben. Am bisherigen 
Standort der Firma in Kirch- 
bichl will SoftM die Tochter- 
gesellschaft SoftM Solutions 
GmbH gründen, die einen nen- 
nenswerten Teil der KTW-Mit- 
arbeiter weiterbeschäftigen soll. 
KTW hatte kurz nach der 
Münchner Systems Insolvenz 
angemeldet. Als Grund nennt 
Chef Reinhold Karner „uner- 
füllbare Nachforderungen“ der 
Hausbank BTV als Reaktion 
auf Lösungsvorschläge. Deren 
Ausarbeitung war erforderlich 
geworden, da KTW als Gläu- 
bigerin der im vergangenen 
Oktober pleite gegangenen 
Semiramis Software mit For- 
derungsausfällen in zweistelli- 
ger Millionenhöhe zu kämpfen 
hatte. Ähnlich wie im Dezem- 
ber 2006, als man die Rechte 
an Semiramis erwarb, sprang 
SoftM wieder ein, das ERP-Ge- 
schäft der KTW zu retten. 
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MARKT + TRENDS 


Business-Software 


HP Universe: Automatisiertes Geschäft 


Zusammenfassung 


Jürgen Diercks 


Auf seiner Benutzerveranstaltung in Barcelona stellte 
HP eine neue Systemmanagement-Suite vor. Mit der 
sollen Unternehmen ihre IT-Prozesse weitgehend 


wartungsfrei steuern können. 


[I} 

ber 4000 Teilnehmer, 80 

Aussteller, 150 Tracks im 
futuristischem Ambiente des 
Convention Centers in Barce- 
lona ergaben gebündelt die HP 
Universe. In den Keynotes 
sparten die Redner nicht mit 
den üblichen Lobhudeleien auf 
die eigene Firma. Und ein lus- 
tiger Professor der theoreti- 
schen Physik namens Michio 
Kaku zeichnete ein optimisti- 
sches Bild der Zukunft unter 
dem Motto: „How to compete 
in the Hyper-Connected World 
of 2020“. Um hier erfolgreich 
zu sein, müsse man zunächst 
mal den „perfekten Kapita- 
lismus“ einführen, in dem der 
Konsument rundum informiert 
durchs Leben läuft und die 
Unternehmen ihm dazu pas- 
sende, hochwertige, innovative 
und effiziente Software auf 
den Leib schneidern. Über- 
haupt ließe sich demnächst je- 
des Problem mit entsprechen- 
der Technik lösen. Der Mann 
muss es wissen, denn immer- 
hin zählt ihn das New York 
Magazine zu den 100 smartes- 
ten Insassen der Stadt. 

Es gibt jedoch auch Hand- 
festes zu vermelden: Laut Tho- 
mas E. Hogan, Senior Vice Pre- 
sident von HP, wächst die 
Softwaresparte des Hauses am 
schnellsten und stellt mittler- 
weile das profitabelste Segment 
des nach eigenen Aussagen 


Automatisiert: Microsoft hat 
das V-Modell XT in Visual 
Studio Team System inte- 
griert. Ein Prozesstemplate- 
Generator soll die Vorgaben 
des Vorgehensmodells im 
Team Foundation Server ab- 


sechstgrößten Softwareanbie- 
ters. Im fiskalischen Jahr 2007 
setzte HP 2,33 Mill. US-Dollar 
um, ein Zuwachs um 79 %. Der 
Gewinn stieg sogar um 306 %. 
Mittlerweile ernährt die Soft- 
ware 7000 Angestellte bei HP. 
Wie Hogan weiter ausführte, 
unterstützt die IT das Unterneh- 
men bislang nur unzureichend 
bei der Koordination der zahl- 
reich anwesenden Tools, Teams 
und Prozesse. Er prognostiziert 
sogar eine regelrechte Explo- 
sion der IT-Komplexität. Bei- 
spielsweise würden bereits im 
Jahr 2009 auf einen echten vier 
virtuelle Server kommen. Als 
Schutz vor dem drohenden Cha- 
os kündigte er die Produkt-Suite 
„Automated Operations 1.0“ an. 
Sie soll den Lebenszyklus aller 
Geschäftskomponenten auf ei- 
nem gemeinsamen Datenmodell 
(Universal CMDB) sowie ei- 


nem integriertem Workflow 
Layer abbilden und somit hel- 
fen, den gesamten IT-Betrieb zu 
automatisieren. Die Suite fasst 
HPs bekannte Systemmanage- 
ment-Angebote mit den von 
Opsware übernommenen Pro- 
dukten zusammen. 

Automated Operations be- 
steht aus: IT Service Manage- 
ment (ITSM, ITIL-Unterstüt- 
zung), HP Business Service 
Automation (BSA), Bereitstel- 
lung von IT-Resourcen (Provi- 
sioning) sowie Business Service 
Management (Management von 
Geschäftsprozessen, Netzen, 
Infrastruktur, Anwendungen). 
Über die Orchestrierungsfunk- 
tionen lassen sich alle Kompo- 
nenten miteinander verknüpfen 
(siehe Grafik). 

In den SaaS-Markt (Soft- 
ware as a Service) willHP groß 
einsteigen. Angeblich wächst 
dieser Bereich drei- bis viermal 
schneller (20 % pro Jahr) als 
das ERP-Segment. HP ver- 
spricht seinen Kunden, dass sie 
über dieses Modell bis zu 20 % 
der Kosten für IT-Management 
sparen können. (jd) 


Operations Orchestration 


Client Network 


Automation 


Automation 


Server 
‚Automation 


Storage 
Automation 


| Service Automation Visualizer 


Service Automation Reporter 
Universal CMDB 


bilden. Letzterer ist die zen- 
tralen Komponente der Ent- 
wicklungsplattform. Interes- 
sierte können sich den 
Generator von www.code- 
plex.com/VModellXTTFS 
kostenlos herunterladen. 


Studiotermin: Zend hat die 
Beta-Version seiner PHP IDE 
„Studio for Eclipse“ veröf- 


fentlicht. Sie basiert auf den 
Studio-Produkten des Herstel- 
lers und dem Eclipse PHP 
Developers Tools (PDT) Pro- 
Jeet. Die IDE richtet sich an 
professionelle PHP-Entwick- 
ler, die eine Umgebung für 
die Erstellung webbasierter 
Geschäftsanwendungen benö- 
tigen www .zend.com/en/ 
products/studio/downloads. 


iX 1/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Durchgängig: Vom Modell zum Einsatz 


Telelogic hat seinen System 
Architect, ein Werkzeug für die 
Modellierung von Unterneh- 
mensarchitekturen, in der Ver- 
sion 11.0 mit Tau 4.0 verknüpft. 
Tau ist ein Programm für die 
modellgetriebene Anwendungs- 
entwicklung. Anwender sollen 
damit einen modellbasierten 
Workflow erstellen können — 
von der Unternehmensarchi- 
tektur und dem Geschäftsmo- 
dell bis zur Implementierung, 
und zwar im Zusammenspiel 


mit der Anforderungsmanage- 
mentlösung DOORS. Beide 
Umgebungen teilen sich ein 
Repository. 

Laut Telelogic haben die 
Benutzer die Möglichkeit, mit 
dem System Architect ent- 
worfene Geschäftsprozesse in 
UML-Modelle umzusetzen, 
die wiederum zur Steuerung 
der Systementwicklung die- 
nen. Umgekehrt lassen sich in 
Tau durchgeführte Änderungen 
in System Architect auf ihre 


Eignung prüfen. Die Visuali- 
sierung der Modelle soll sich 
nach der Rolle des Anwenders 
richten. Die Werkzeugkombi- 
nation unterstützt die gängi- 
gen Modellierungsstandards 
(BPEL, BPMN, UML). Nach 
Einschätzung des IDC-Ana- 
lysten Steve Hendrick lässt 
sich mit der Umgebung eine 
SOA aufsetzen, von den An- 
forderungen bis hinunter zu 
den Webservices. 

Susanne Franke 


Microsofts Roadmap für Composite Applications 


Unter dem Codenamen Oslo 
will Microsoft SOA-Techni- 
ken entwickeln, die Eingang 
finden sollen in den Biztalk 
Server 6, Visual Studio 10, 
System Center 5 sowie das 
‚Net Framework 4. Sogenann- 
te Composite Applications auf 
Oslo-Basis kann der Kunde 
sowohl lokal (On-Premise) als 
auch über ein Mietmodell be- 
treiben. Entwickelt wird künf- 
tig modellgetrieben, das Mo- 
dellieren mit Visual Studio 
sollen Geschäftsanalysten, Ar- 
chitekten und Entwickler ge- 
meinsam erledigen. Motto: 


„Das Modell ist die Anwen- 
dung.“ 

Oslo soll die einzelnen Mo- 
delle in ein Gesamtmodell 
überführen, in dem jeder Betei- 
ligte stets alle Einzelteile sehen 
kann. Tools wie das Design- 
Werkzeug Whitehorse für die 
Erzeugung und Implementie- 
rung von Systemen in einer 
SOA will Microsoft weiterent- 
wickeln. Einen „universellen“ 
Editor hat der Konzern bereits 
vorgestellt. Er soll End-to-End- 
Ansichten von Modellen für 
Geschäfts- oder IT-Prozesse 
aller Art darstellen können. 


Verbindung via Performance Point Server 


Mit dem Office Performance 
Point Server 2007 stellt Micro- 
soft ein erstes eigenes Angebot 
für das Corporate Performance 
Management vor. Es verbindet 
Analyse-, Planungs- und Bud- 
getierungsfunktionen mit ei- 
nem erweiterten Excel-Front- 
end. Die Software setzt für 
OLAP und Data Mining die 
SQL Server Analysis Services 
2005 voraus. 

Der integrierte Planning 
Business Modeler hilft beim Er- 
stellen von Planungs- und Ge- 


schäftsmodellen. Einige Model- 
le mit vorgefertigten Dimen- 
sionen und Geschäftsabläufen 
stehen zur Verfügung. Als Ein- 
gabeoberfläche dient ein neues 
Excel-Plug-in. Schließlich ge- 
hört zur Plattform der Business 
Scorecard Manager 2005, des- 
sen Technik vom aufgekauften 
Business-Intelligence-Anbieter 
ProClarity stammt. Damit sol- 
len Anwender Kennzahlen, mit- 
einander verknüpfte Scorecards 
sowie Strategy Maps erzeugen 
können. Unternehmensweite 


CRM und ERP für Mittelstand 


Speziell mittelständische Unter- 
nehmen will die Anfang 2007 
in Wien gegründete Kinamu 
AG mit CRM- und ERP-Soft- 
ware beliefern. Bei der Firma, 
die gerade eine deutsche Toch- 
ter in München aufbaut, handelt 
es sich um ein Spin-off ehema- 
liger SAP-Manager. Geschäfts- 
idee ist, den Kunden solide 
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Technik zum kleinen Preis an- 
zubieten und das ohne Fixkos- 
ten und Risiko. Kinamu will 
Komplettpakete aus Hardware, 
Software, Betrieb, Support und 
definierten Service Levels an- 
bieten. Die Mittelständler kön- 
nen ihre monatlichen Kosten 
laut Anbieter klar kalkulieren 
und müssen kein internes Spe- 


Die Roadmap sieht auch ein 
neues Repository für Metada- 
ten, Biztalk-Prozesse, Webser- 
vices sowie Code-Artefakte aus 
Visual Studio vor. Ein Internet 
Service Bus (Weiterentwick- 
lung der Biztalk Services) soll 
Prozessdienste leisten. Der ISB 
hat grundsätzlich die gleichen 
Aufgaben — etwa Nachrichten- 
Routing und Datenwandlung — 
wie ein herkömmlicher Enter- 
prise Service Bus. Allerdings 
nutzt der ISB Internetprotokolle 
und arbeitet Firewall- sowie or- 
ganisations- und plattformüber- 
greifend. Susanne Franke 


Modelle für Scorecards, Ana- 
lysen und Planung lassen sich 
laut Microsoft auch auf Abtei- 
lungsebene für das Performance 
Management heranziehen. So 
sollen Kunden eine klare Sicht 
auf organisationsweite Leis- 
tungsparameter erhalten. Mit 
der ERP-Software Dynamics 
arbeitet der Server zusammen. 
Der Konzern hofft auf reges 
Interesse der Partner, die Dy- 
namics und den SQL Server 
im Angebot haben. 

Susanne Franke 


zialwissen aufbauen, da die Lö- 
sungen remote laufen. Wenn 
möglich, basieren die Anwen- 
dungen auf Open-Source-Pro- 
dukten. So vertreibt Kinamu 
etwa SugarCRM. Im ERP- 
Umfeld ist SAP ERP 6.0 Kern- 
komponente. In den Paketen 
sind diese beiden Applikatio- 
nen miteinander verzahnt. 
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Version 2: Für High-End- 
PCs und Server-Storage- 
Lösungen hat Samsung 
Electronics seine 64-GByte- 
SSDs (Solid State Drives) 
in den Formfaktoren 1,8 
und 2,5 Zoll mit SATA-I- 
Interface bestückt. Die 

64 jeweils 8 GBit großen 
50-nm-SLC-Flash-Chips 
(Single-Level-Cell) errei- 
chen etwa 120 MByte/s 
lesend und 100 MByte/s 
schreibend bei einer Leis- 
tungsaufnahme von weni- 
ger als einem Watt. 


Mal 10: Reldata hat 

mit dem Virtualisierungs- 
Gateway 9240 seine 
Produktpalette um einen 
10-GBit/s-fähigen 
SAN/NAS-Gateway er- 
weitert. Zu den sechs 
GE- und je zwei U320- 
SCSI- FC-Ports gesellen 
sich nun optional ein 10- 
GE-Target-Port sowie ein 
3-GBit/s-SAS-Interface. 


Mehr Platz: Der im No- 
vember von Dell über- 
nommene Speicherherstel- 
ler Equallogic hat seine 
Produktpalette mit dem 
Disk-Array PS3700X iSC- 
SI erweitert. Es ist mit den 
neuen, 400 GByte fassen- 
den SAS-Festplatten der 
Cheetah-NS-Serie von 
Seagate bestückt und 
kommt damit auf eine 
Gesamtkapazität von 

6,4 TByte brutto. 


Mit Alternative: Hitachi 
hat QLogics iSCSI-to-FC- 
Router SANbox 6140 in 
seine Midrange-Storage- 
Familie Adaptable Modu- 
lar Storage und Low-End- 
Modelle des Workgroup 
Modular Storage inte- 
griert. Dadurch sind sie 
künftig auch über iSCSI 
ansprechbar. 


Zum Anfassen: Die Mün- 
chener Hetec Datensyste- 
me GmbH hat ihre Screen- 
splitting-KVM-Switches 
mit Touchscreen-Unter- 
stützung ausgestattet. Über 
den V-Switch soll der 
Touchscreen als Eingabe- 
gerät Tastatur und Maus 
ersetzen können. 
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IBMs BlueGene-Systeme dominieren Green500 


Blaugrü 


Nikolai Zotow, Susanne Nolte 


Auf den ersten Blick wirkt die neue Green500-liste 
eintönig. Denn die ersten 27 Plätze belegen fast 
ausschließlich BlueGene-Systeme von IBM. 


D: vorderen 5 Plätze haben 
sich die neuen BlueGene/ 
P-Systeme gesichert, die Plätze 
7 bis 27 die älteren L-Systeme 
- und 5 der 26 Installationen 
stehen bei IBM selbst. Fast ver- 
loren wirkt dazwischen der 
Bio-X2 - ein PowerEdge-1950- 
Cluster an der Stanford Univer- 
sity — auf Platz 6. 

Nunmehr zum dritten Mal 
sortiert die Green500 (www. 
green500.org) die Supercom- 
puter der frisch veröffentlich- 
ten Top500 (siehe Seite 14 in 
diesem Heft) nach ihrer Ener- 
gieeffizienz. Das Ranking er- 
folgt nach Mflops pro Watt, 
wobei — wenn vorhanden - 
die gemessenen Werte gelten, 
andernfalls die Peak-Werte 
des Stromverbrauchs. Andere 
Kenngrößen finden hier keine 
Berücksichtigung. 

Spitzenreiter ist der in der 
Top500 auf Platz 121 gelistete 
Blue Gene/P des britischen 
Science and Technology Faci- 


lities Council mit 357,23 
MFlops/W, gefolgt vom „Ge- 
nius“ der Max-Planck-Gesell- 
schaft — Deutschlands viert- 
größtem Rechner — mit 352,25 
MFlops/W (Top500: Platz 40). 
Hinter dem IBM-eigenen Sys- 
tem in Rochester (346,95 
MFlops/W; Top500: Platz 24) 
belegt die momentan leistungs- 
fähigste zivil genutzte Installa- 
tion der Welt, JUGENE am 
Forschungszentrum Jülich, mit 
336,21 MFlops/W Platz vier. 
Mit etwas Abstand auf den 
fünften BlueGene/P (310,93 
MFlops/W) folgt das oben ge- 
nannte Dell-System Bio-X2 
mit 245,27 MFlops/W. Die auf 
den Plätzen 7 bis 27 geführten 
Großrechner differieren kaum 
in den Effizienzwerten (210,56 
bis 203,77 MFlops/W). Darun- 
ter befinden sich auch der zwei- 
te Jülich-Rechner JUBL auf 
Platz 14 (Top500: Platz 28) und 
auf dem 22. Platz mit dem best- 
platzierten Top500-Rechner 


Aktive Lichtwellenleiter für 10 GE 


Auf der Supercomputing Con- 
ference November 2007 hat Fi- 
nisar erste aktive Lichtwellen- 
leiter für 10-Gigabit-Ethernet 
vorgestellt. Sie besitzen in den 
Steckern Transceiver, die die 
Signale zwischen den Kupfer- 
Ports der Switches und HBAs 
auf der einen und dem opti- 
schen Kabel auf der anderen 
Seite konvertieren. Finisar lie- 
fert die Laserwire genannten 
Kabel konfektioniert in 3,5, 10 
und 30 Meter Länge und als 
Sonderanfertigungen. Die Kon- 
nektoren sind dabei nicht brei- 
ter als die von RJ-45 oder SFP 
(Small Formfactor Pluggable). 
Neben 10GE unterstützen 
die Kabel Fibre Channel mit 1 
bis 8 GBit/s, externe SAS/SA- 
TA-Verbindungen, externes 
PCIe, HDMI (High Definition 


Multimedia Interface), Display- 
port sowie proprietäre High 
Speed Interconnects. Für Infini- 
band würde nur die — theore- 
tisch existierende — 10-GBirt/s- 
Variante QDR x1 (Quad Data 
Rate auf einem 2,5-GBit/s-Ka- 
nal) infrage kommen, für die es 
aber weder Switches noch 
HBAs gibt. Intel hatte bereits 
im Sommer auf der ISC 2007 in 
Dresden solche Active Cables 
für die herkömmlichen elek- 
trischen CX4-Infiniband-An- 
schlüsse mit 10 (SDR x4) und 
20 GBit/s(DDR x4) vorgestellt. 

Gegenüber den etwa bei In- 
finiband und SAS verwendeten 
Kupferkabeln kann Glasfaser 
vor allem durch das wesentlich 
geringere Gewicht, den gerin- 
geren Biegeradius, die kleine- 
ren Stecker für eine höhere 


BlueGene/L am LLNL der erste 
militärisch genutzte Supercom- 
puter der „grünen“ Liste. 

Lange suchen muss man in 
der Green500, bis man andere 
deutsche Aushängeschilder fin- 
det: Der in der Top500 auf 
Platz 15 vermerkte HLRB-I 
(SGI Altix 4700) des Leibniz- 
Rechenzentrums belegt hier 
mit ganzen 22,00 MFlops/W 
den 453. Platz. Knapp darüber 
liegt auf Platz 451 eine weitere 
SGI Altix 4700, diesmal die 
der TU Dresden mit 22,32 
MFlops/W (Top500: Platz 
112). Etwas besser ist der HP- 
Opteron-Cluster der Uni Karls- 
ruhe platziert: Mit seinen 24,32 
MFlops/W hat er gerade ein- 
mal Platz 444 in der Green500 
erreicht (Top500: Platz 114). 
Zumindest der in Karlsruhe 
frisch installierte Xeon-Cluster 
nimmt schon jetzt mit 142,21 
MFlops/W Platz 36 der 
Green500 und Platz 104 der 
Top500 ein. 

Der schlechteste Energiever- 
werter der in deutschen Landen 
beheimateten Top500-Systeme 
ist aber der NEC SX8/576M 72 
am HWW der Universität Stutt- 
gart auf Platz 496 (6,2 MFlops/ 
W). Ihn untertreffen nur noch 
der 2002 gebaute Earth-Simu- 
lator (5,6 MFlops/W), die bei- 
den US-amerikanischen Ita- 
nium-Cluster Teragrid (5,08 
MFlops/W) und Thunder (4,06 
MFlops/W), gefolgt vom 
Schlusslicht ASCI Q (Alpha- 
Server SC45; 3,65 MFlops/W) 
in Los Alamos. 


Port-Dichte sowie einen gerin- 
geren Stromverbrauch punkten 
- Finisar gibt eine Leistungs- 
aufnahme von typischerweise 
weniger als 0,5 W pro Ende 
an. Zum Vergleich: Die PHYs 
der — noch nicht spezifizierten 
— Twisted-Pair-Kabel für 
10GBase-T saugen mehr als 10 
Watt aus dem Netzteil. Aller- 
dings werden bei 1OGE und 
Fibre Channel schon jetzt vor- 
nehmlich Lichtwellenleiter ver- 
wenden. Hier argumentiert Fi- 
nisar, dass die Glasfaser-Ports 
sich beim 10GE bisher nur in 
den Kernnetzen durchsetzen 
konnten, da sie für Server- 
Anbindung noch zu teuer 
sind. Das will der Hersteller 
durch entsprechende Kupfer- 
ports für Motherboards und 
HBAs ändern. 
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SDK verbessert Projektmanagement 


Als Teil der neuen Version 
seines SCM-Systems Perforce 
Server 2007.3 hat Perforce ein 
SDK für das Defect Tracking 
Gateway angekündigt. Das 
Software Development Kit soll 
Kunden und Händler in die 
Lage versetzen, in kurzer Zeit 
Plug-ins zu entwickeln, die ih- 
re jeweilige ALM-Lösung 
(Application Lifecycle Ma- 
nagement) an individuelle An- 
forderungen anpassen. Über 


eine eingebaute Replication 
Engine reicht das Defect Tra- 
cking Gateway vom Anwen- 
der vorgenommene Änderun- 
gen weiter. 

Die Preise für den Perforce 
Server 2007.3 beginnen bei 
800 US-Dollar für eine Lizenz. 
Eine kostenlose 45-Tage-Test- 
version bietet der Hersteller 
über seinen Website ebenfalls 
an (www .perforce.com) — in- 
klusive technischen Supports. 


3D-Dokumentation für die Nachwelt 


Kein Kulturgut bleibt ewig er- 
halten. Sie erodieren im Laufe 
der Jahrhunderte oder stehen 
Bauprojekten im Wege. Letzte- 
res betrifft beispielsweise Fels- 
zeichnungen am Karakorum 
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Highway, von denen ein großer 
Teil bis 2016 durch die Aufstau- 
ung des oberen Indus zerstört 
werden soll. Eine Forschungs- 
gruppe der Heidelberger Aka- 
demie der Wissenschaften will 
mithilfe von 3D-Laserscannern 
und Compterfräsen versuchen, 
detailgetreue Repliken zu erstel- 
len und so zumindest einen Teil 
der Gravuren zu erhalten. 

Eine weitere Forschungsstel- 
le plant, mit computergestützten 
3D-Modellen und Animationen 
der Weltöffentlichkeit in Stein 
gemeißelte heilige Texte aus 
buddhistischen Sutren zu prä- 
sentieren. Die datenbankbasierte 
Dokumentation über die In- 
schriftenorte in der chinesischen 
Provinz Shandong soll zukünf- 
tig über das Internet zugänglich 
sein. Weitere Informationen un- 
ter www.haw.baden-wuerttem 
berg.de. 


3D-Scans mit 64-Bit-Leistung 


Mit den 64-Bit-Versionen ihrer 
Scan-Software umgeht Inus 
Technology, Inc. (www.rapid 
form.com) die Beschränkung 
auf 2 GByte Arbeitsspeicher 
und kann jetzt bis zu 128 GByte 
RAM nutzen. 

Rapidform XOS (Scan- 
datenverarbeitung) und XOR 
(Redesign) bieten unter ande- 
rem Punktwolkenverarbeitung 
und erzeugen editierbare para- 
metrische Volumenmodelle, die 


in CAD-Systemen unmittelbar 
weiterverarbeitet werden kön- 
nen. Die 64-Bit-Ausgabe des 
für die Qualitätsprüfung ent- 
wickelten Rapidform XOV 
(Verifier) hat das koreanische 
Unternehmen für Anfang 2008 
in Aussicht gestellt. Vorausset- 
zung für den Betrieb von Ra- 
pidform XOS 64, XOR 64 und 
XOV 64 sind ein Rechner mit 
64-Bit-Prozessor sowie Win- 
dows XP x64 oder Vista x64. 


Repository-Tool für Build-Werkzeuge 


Das Maven Archiva Team hat 
die finale Version 1.0 des Re- 
pository Manager Archiva an- 
gekündigt (maven.apache.org/ 
archiva). Archiva arbeitet mit 
Build-Werkzeugen wie Maven, 
Continuum und Ant zusammen. 
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Es erlaubt unter anderem das 
Durchsuchen und Sichern von 
Repositories und identifiziert 
unbekannte Artefakte. Darüber 
hinaus kann es als Proxy Cache 
für andere globale Repositories 
fungieren. 
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Nächste Generation des VMware Server 


Es gibt bereits die Beta-Ver- 
sion des VMware Server 2 
zum freien Download. Mit der 
neuen Version sollen sich die 
Bedienung und das Installieren 
virtueller Maschinen (VM) 
dank intuitiver Management- 
Schnittstelle vereinfacht ha- 
ben. VMware nutzt ein Web- 
Interface, sodass Linux- wie 
Windows-Benutzer eine ein- 
heitliche Benutzer-Oberfläche 
vorfinden. Außerdem haben die 
Entwickler das Hardwarespek- 
trum erweitert und unterstützen 


über 30 Varianten von Gastbe- 
triebssystemen, unter anderem 
neue Linux-Distributionen und 
Windows Server 2008. Das 
Virtual Machine Interface 
(VMD) erweitert die Kommuni- 
kation zwischen den VMs und 
der Virtualisierungsebene. Hin- 
zugekommen ist außerdem die 
Nutzung von USB 2,0, bis zu 
8 GByte RAM pro VM, maxi- 
mal zweier virtueller SMP- 
Prozessoren und von 64-Bit- 
Gastsystemen (www.vmware. 
com/go/server2_beta). 


SPECims2007 misst Leistung von MOM 


Ein Benchmark, der die Leis- 
tung von „Message-oriented 
Middleware“ (MOM) misst, 
ergänzt neuerdings das Port- 
folio der Standard Performance 
Evaluation Corporation (SPEC). 
Ende Oktober hat sie den neu- 
en SPECjms2007 veröffent- 
licht. MOM koordiniert die 
Kommunikation von Anwen- 
dungen untereinander und 
dient als Basis für „Service 
Oriented Architecture“ (SOA) 
oder „Event Driven Architec- 
ture“ (EDA). 

Den zugrunde liegenden 
Standard „Java Message Ser- 
vice“ (JMS) unterstützen die 
meisten namhaften Software- 
hersteller, neben allen J2EE- 
Produkten gilt dies beispiels- 
weise für Tibcos Enterprise 
Message Service, IBMs Web- 
sphere MQ oder Oracles Ad- 


ACML 4.0: Ein Update 

des Linear Algebra Package 
(LAPACK) sowie eine Opti- 
mierung für die neuen Quad- 
Core-Opteron, bezogen auf 
Multithreading und Strea- 
ming Extensions (SSE), zäh- 
len zu den herausragenden 
neuen Features, mit denen 
AMD seine frei erhältliche 
Math Core Library (ACML) 
in der Version 4.0 ausgestat- 
tet hat (developer.amd.com). 


Grafisch rechnen: Unter- 
stützung für die 64-Bit-Ver- 
sion von Windows XP samt 
neuer Source-Codes zum 
Durchführen von Berech- 
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vanced Queueing. SPECjms- 
2007 ermöglicht sowohl den 
Vergleich der Leistungsfähig- 
keit solcher Produkte auf Basis 
von Standardszenarien als auch 
die Analyse von MOM-Lösun- 
gen unter benutzerspezifischen 
Bedingungen. Zur Bestim- 
mung der Systemleistung bil- 
det SPECjms2007 den Nach- 
richtenfluss in der Supply Chain 
einer Supermarktkette ab. 

SPECjms2007 entstand in ei- 
nem Zeitraum von zwei Jahren 
als gemeinsames Projekt der 
TU-Darmstadt sowie der Fir- 
men IBM, Sun, Oracle, Bea, 
Sybase und Apache unter Fe- 
derführung des SPEC-Java-Ko- 
mitees. Ergebnisse liegen bei 
der SPEC (www.spec.org) noch 
nicht vor. Der SPECjms2007 
kostet 1800 US-$, für Non-Pro- 
fit-Nutzer 450. 


nungen enthält CUDA 1.1, 
die neue Version der Compi- 
ler für die GPUs auf Nvidias 
Grafikkarten. Außerdem bie- 
ten die neuen Display-Trei- 
ber die Unterstützung für 
CUDA, sodass das zusätzli- 
che Installieren von Soft- 
ware entfällt (www .nvidia. 
de/cuda). 


Im Paket: Mit der Premium 
Edition von Parallels Desk- 
top 3.0 bietet SWsoft ein 
Paket zur Virtualisierung auf 
Intel-Macs mit Werkzeugen 
von Acronis und Kaspersky 
zur Sicherung von Windows- 
Gastsystemen. Erhältlich ist 
das Bundle im neuen deut- 
schen Onlineshop von 
SWsoft (www .parallels.com/ 
de/products/desktop/). 


KVM-over-IP von Raritan 


Bei seinem neuen Top-Modell 
hat Raritan die Ausstattung er- 
weitert. Der KVM-over-IP- 
Switch aus der Serie Dominion 
KX I ist jetzt mit 64 Ports aus- 
gestattet. Der DKX2-464 be- 
sitzt zwei redundante Netzteile 
und zwei Gigabit-Ethernet-An- 
schlüsse. Die bis dato lästige 
Anpassung der Maus an die 
ferngesteuerte grafische Ober- 
fläche soll durch Absolute 


Mouse Synchronization auto- 
matisch von der Hand gehen. 
Virtual Media, die Einbindung 
von Laufwerken vor Ort an ent- 
fernte Systeme, erleichtert In- 
stallation und Wartungsaufga- 
ben. Mit einer Auflösung von 
1600 x 1200 bietet das Gerät ei- 
ne angenehm große Arbeitsflä- 
che für Administratoren. Der 
Preis für das Dominion KX2- 
464 beträgt 7476 Euro. 


banal none ETLT 


U 


Alles dabei: Nicht nur 64 Ports, sondern auch PS/2 und USB nebst 
doppeltem Netzteil und Gigabit-Ethernet kennzeichnen den KVM- 


over-IP Switch von Raritan. 


LogMeln hilft beim Backup und steuert Macs 


Inkrementelles Backup auf de- 
dizierte PC im Firmennetz so- 
wie die Option, den Prozess an- 
halten und wieder aufnehmen 
zu können, bietet LogMeln mit 
seiner neuen Version von Re- 
mote Backup an. Der Dienst 
kostet je Rechner 39,95 US-$ 
pro Jahr, bei mehreren sinkt der 
Preis auf 34,95 US-$ (www.log 
meinbackup.com). 

Für Liebhaber der Systeme 
von Apple gibt es neuerdings 
LogMeln Free for Mac. Es 
handelt sich um eine kosten- 
lose Dienstleistung, die Nut- 
zern von Apples Computern 
unter Mac OS X den Weg er- 


öffnet, von jedem Mac oder 
PC aus über das Internet auf 
ihren Rechner zugreifen zu 
können, wobei der Zugang 
zum Mac und den dortigen 
Dokumenten sowie Anwen- 
dungen durch Verschlüsse- 
lungsmethoden gesichert ist. 

Als Beta-Version bietet der 
Dienstleister „LogMeln Res- 
cue for Mac“ zum Test. Das 
Angebot „Software as a Ser- 
vice“ wendet sich an IT-Sup- 
port-Dienstleister, die damit 
die Macs ihrer Kunden aus 
der Ferne diagnostizieren, re- 
parieren oder verwalten kön- 
nen (www.logmein.com). 


Virtual Iron 4.2 erweitert Dynamic 


Multi-Pathing für virtuelle 
Server über Fibre Channel, 
Komplettabzüge von VMs im 
laufenden Betrieb mit Live- 
Snapshot und die Möglichkeit, 
die Größe von Plattengruppen 
und virtuellen Laufwerken on 
demand zu vergrößern, sind 
die herausragenden Features 
der neuen Version des Xen- 
basierten Virtualisierers Vir- 
tual Iron 4.2. Hinzu kommt 
außerdem eine umfangreichere 
Unterstützung von Betriebssys- 
temen einschließlich Red Hat 
Enterprise Linux 5 (RHEL) 


und Suse Linux Enterprise Ser- 
ver 10 (SLES). Mit dabei sind 
Werkzeuge für VMs als ISO- 
Image, die für den Administra- 
tor als virtuelle CD-ROMs er- 
scheinen. Damit kann er sie 
einfacher als bisher verteilen 
und Upgrades anbieten. 

Die Preise, 799 Euro für 
Extended und 499 für die En- 
terprise Edition, bleiben un- 
verändert (www.virtualiron. 
com). Distributor in Deutsch- 
land ist die AVnet Technolo- 
gy Solutions (Mail an: volker. 
schlenker@avnet.com). 
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Linux 


Aufgeholt: Fedora 8 turnusgemäß fertig 


Da sich die Entwickler vorge- 
nommen hatten, die rund ein- 
monatige Verspätung der Vor- 
version Fedora 7 aufzuholen, 
blieben ihnen diesmal lediglich 
fünf Monate für die Fertigstel- 
lung von Fedora 8 (Codename 
Werewolf) und das Wiederher- 
stellen des gewohnten halb- 
jährlichen Rhythmus. Wie ge- 
wohnt spendierten sie ihrer 
Distribution reichlich Aktuali- 
sierungen, wobei sich über den 
gesamten Verlauf des Entwick- 
lungszyklus erstmals auch 
Nicht-Red-Hat-Programmierer 
ernsthaft in das Open-Source- 
Projekt einbringen konnten. 
Zu den größeren Erweite- 
rungen gehören zum einen 
Suns Open-Source-Java-Run- 
time IcedTea sowie der modu- 
lare Soundserver PulseAudio, 
der den ESD-Daemon ersetzt. 
Der grafische Mixer kann dank 
virtueller Ausgabekanäle auch 
mehreren Anwendungen Zu- 
griff auf die Soundausgabe ge- 
währen. Hier kam es bislang 
immer wieder zu Hakeleien 
zwischen Applikationen. Dank 
des aktuellen Kernels 2.6.23 


Verschoben: KDE 4.0 wird 
nicht wie ursprünglich ge- 
plant Mitte Dezember, son- 
dern erst Mitte Januar end- 
gültig freigegeben. Die 
Entwickler wollen die zu- 
sätzliche Zeit zur Fehlerbe- 
hebung nutzen, damit die 
neue Version den Qualitäts- 
ansprüchen des Projekts ge- 
nügt (www.kde.org). 


Freigabe: Daniel Bernstein 
hat den Quellcode seines 
Mailservers Qmail in der 
Version 1.03 als Public Do- 
main freigegeben. Auf der 
Website des Projekts (www. 
qmail.org/top.html) ist diese 
Neuigkeit allerdings noch 
nicht angekommen. 


Bug-Fix-Release: 

Mit der jetzt veröffentlichten 
Version 2.3.1 bringt das 
OpenOffice.org-Projekt sei- 
nem Office-Paket keine neuen 
Fähigkeiten bei. Es dient aus- 
schließlich der Softwarepfle- 
ge. So behoben die Entwick- 
ler fast 50 Fehler, darunter 
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(im Update-Zweig lautet die 
Versionsnummer inzwischen 
2.6.23.3) verfügt Fedora 8 über 
eine gute Treiberausstattung — 
sofern Open-Source-Treiber 
existieren. In Sachen proprietä- 
rer oder patentrechtlich zweifel- 
hafter Software gibt sich das 
Projekt nach wie vor ähnlich 
restriktiv wie Debian und liefert 
diese schlicht nicht mit aus. 
Mit ATrpms (atrpms.net), 
FreshRPMs (freshrpms.net), 
Dribble (dribble.org.uk) oder 
Livna (rpm.livna.org) gibt es 
zwar eine Reihe von Reposito- 
ries, die diese Lücken füllen, 
aber um deren Integration in 
die Paketverwaltung via yum 
muss sich der Anwender schon 
selbst kümmern. Ein Hoff- 
nungsschimmer für Benutzer: 
Dribble, rpm.livna.org und 
FreshRPMs arbeiten unter dem 
Projektnamen RPM Fusion 
(www.rpmfusion.org) derzeit 
an einem Zusammenschluss 
ihrer Softwarearchive. Eigent- 
lich wollte man zum Erschei- 
nen von Fedora 8 fertig sein, 
inzwischen gilt Januar 2008 als 
realistischer Termin. 


eine Sicherheitslücke, mit der 
Anwender das integrierte Da- 
tenbank-Modul HSQLDB ge- 
zielt dazu bewegen können, 
Java-Code auszuführen (de 
velopment.openoffice.org/ 
releases/2.3.1.html). 


Spezial-Linux: Montavista 
(mvista.com) will mit Er- 
scheinen dieser Ausgabe sein 
auf Telekommunikationssys- 
teme spezialisiertes Carrier 
Grade Linux 5.0 freigeben. 
Es läuft auf x86-, x86_64 und 
PowerPC-Systemen, die die 
PICMG-Standards ATCA 
und MicroTCA (www .picmg. 
com/v2internal/specifica 
tions.htm) unterstützen, und 
erfüllt die Carrier-Grade- 
Spezifikation der Linux 
Foundation (www.linux- 
foundation.org). 


Fusion: Die Hersteller- 
vereinigungen Live (www. 
linux-verband.de) und Linux 
Solutions Group (LiSoG, 
www.lisog.de) haben ihre 
Gespräche über gemeinsame 
Projekte ausgeweitet und 
sprechen über eine potenziel- 
le Fusion der Organisationen. 


Erstes Update für RHEL5 


Für die jetzt verfügbare erste 
große Aktualisierung von 
Red Hat Enterprise Linux 
(RHEL, www .redhat.de/rhel), 
die Release 5.1, haben sich 
die Entwickler neben den üb- 
lichen Bugfixes, Treiber- und 
Sicherheitsupdates vor allem 
die Virtualisierung noch ein- 
mal gründlich vorgenommen. 
So aktualisierten sie Xen auf 
Version 3.1 und verbesserten 
die Unterstützung der Hard- 
ware-Virtualisierungsfunktio- 
nen von AMD- und Itanium- 
Prozessoren. Die für einen 
schnellen Betrieb erforder- 
lichen paravirtualisierten Trei- 
ber für Linux und Windows 


will Red Hat separat vertrei- 
ben. Da für Red Hat wegen be- 
stehender Zertifizierungen ein 
Wechsel der Kernel-Version 
mit sehr viel Aufwand verbun- 
den wäre, integrierten die Ent- 
wickler eine Reihe aktueller 
Hardwaretreiber aus neueren 
Kernel-Versionen, beispiels- 
weise der Netzwerktreiber 
e1000e für Intels neuere Chip- 
sätze, oder diverse Storage- 
Controller. Abonnenten des 
Red Hat Network steht die 
neue RHEL-Version wie ge- 
wohnt kostenfrei zur Verfü- 
gung. iX wird sich RHEL 5.1 
in der nächsten Ausgabe ge- 
nauer ansehen. 


UCS 2.0 fertiggestellt 


Mit Erscheinen dieser Ausgabe 
will Univention die Version 2.0 
seines Corporate Server (UCS) 
für x86-, x86-64- und Po- 
werPC-Systeme (IBM iSeries) 
freigeben. UCS basiert zwar auf 
Debian 4.0/Etch, die Bremer 
aktualisierten aber eine Reihe 
von Paketen. Vor allem die 
Integration ins neue UCS-Ma- 
nagementsystem erforderte ei- 
nige Modifikationen an den 
Basispaketen. Es bietet eine 
komfortable Benutzerschnitt- 
stelle zum LDAP-basierten 
Univention Directory Manager, 
über den domänenweit die Sys- 
temverwaltung und -konfigura- 
tion erfolgt. Dem KDE-Desk- 
top spendierten die Entwickler 
einige Extra-Updates, damit 
der Groupware-Client Kontact 
Enterprise-Ansprüchen genügt. 
Via Xen 3.1 lassen sich virtuel- 


le Linux- und Windows-Instal- 
lationen auf einem UCS-Sys- 
tem betreiben. Weitere Details 
zu den aktualisierten Kompo- 
nenten finden sich unter 
www .univention.de/ucs.html. 

Bis auf die proprietären An- 
wendungen von Drittherstel- 
lern, beispielsweise Adobes 
Acrobat, stehen alle einzelnen 
Komponenten unter der GPL 
oder einer anderen OSI-konfor- 
men Lizenz (www.opensource. 
org/licenses). Das betrifft auch 
die Eigenentwicklungen wie 
das Managementsystem, die 
Univention im Sommer eben- 
falls unter der GPL freigab. Für 
den Vertrieb der Software ver- 
wenden die Bremer ein Sup- 
port-Subskriptionsmodell; so 
kostet das Basispaket für einen 
Server und 10 User/Clients cir- 
ca 590 € pro Jahr. 


@ DW htipsimeremnahats muntahrme detuvention-mansgement<orssleindes.nhp 


@univention 


management console 
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Datenbanken 


20. DOAG-Konferenz 


Alles eins 


Christian Kirsch 


DOAG 


Deutsche ORACLE »Anwendergruppe e.V 


Was als reine Datenbankkonferenz begann, hat sich 
mittlerweile zur Großveranstaltung für alle Oracle- 
Produkte entwickelt. In diesem Jahr trafen sich die 
DOAG-Mitglieder zum 20. Mal, erstmals in 


Nürnberg. 


och steht das RDBMS im 

Mittelpunkt der Deut- 
schen Oracle-Anwendergrup- 
pe (DOAG). Andere Produk- 
te aus dem stetig wachsenden 
Angebot der US-Firma spie- 
len jedoch von Jahr zu Jahr 
eine größere Rolle. So muss- 
ten sich die Teilnehmer dies- 
mal zwischen 200 Vorträgen 
in 16 parallelen Vortragsrei- 
hen entscheiden, die von 
Neuerungen in Oracle I1g 
über serviceorientierte Archi- 
tekturen bis zu Peoplesoft- 
und Business-Intelligence-An- 
wendungen reichten. 

Im Datenbankteil bildete er- 
wartungsgemäß die neue Ver- 
sion Oracle Ilg den Schwer- 
punkt. Im Vordergrund standen 
Neuerungen bei Hochverfüg- 
barkeitsfunktionen, im Optimi- 
zer, bei der XML-Verarbei- 
tung und der Nutzung von 
Flashback. Überraschend viel 
Zulauf hatten Open-Source- 
Themen. So musste Robert 
Szilinski seinen Beitrag über 
den Einsatz von Eclipse, Perl 
und Subversion ein zweites 
Mal halten, weil der Raum 
nicht alle Interessenten hatte 
fassen können. 

Professor Vossen vom ER- 
CIS (European Research Cen- 
ter for Information Systems) 
in Münster beschäftigte sich 
in seiner Keynote mit dem 
Web 2.0 und seinen mög- 
lichen Auswirkungen auf die 
Softwareindustrie. Dabei blieb 
er jedoch bei der Beschrei- 
bung des Status quo stehen. In 
weiten Teilen erinnerte der 
Beitrag an Politikeranspra- 
chen zu technischen Themen: 
Ehrfurchtsvoll der neuen, 
noch nicht richtig verstande- 
nen Technik gegenüber, die 
nun aber wirklich endlich den 
großen Durchbruch bringen 
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soll. Die interessante Frage, 
wer all die Inhalte in Blogs 
und Wikis lesen, geschweige 
den, pflegen und aktualisieren 
soll, ließ der Redner folglich 
unbeantwortet. 


Zufriedenheit mit 
dem Support wächst 


Der Veranstalter DOAG zeigte 
sich ebenso zufrieden mit dem 
neuen Tagungsort Nürnberg 
wie viele Teilnehmer. Dass et- 
was weniger als die erwarteten 
2000 Besucher gekommen wa- 
ren, schrieb er dem drohenden 
Lokführerstreik zu. Die Grup- 
pe sieht sich weiterhin als Ver- 
treterin aller Oracle-Kunden, 
unabhängig vom verwendeten 
Produkt. Ein Ausdruck dieses 
Anspruchs sei die Aufnahme 
eines Vertreters der ehemali- 
gen Siebel-Anwendergruppe 
in den Vorstand. Mittlerweile 
hat die DOAG über 3000 Mit- 
glieder und wächst jährlich um 
rund 10 %. 

Als Ergebnis ihrer jähr- 
lichen Umfrage konstatierte 
sie eine gewachsene Zufrie- 
denheit mit dem Oracle-Sup- 
port. Gegenüber dem Vorjahr 
hatten mit 502 mehr als dop- 
pelt so viele Mitglieder die 
Fragen beantwortet. Von ih- 
nen waren 48 % „zufrieden“ 
oder „sehr zufrieden“ — im 
Vorjahr hatten sich nur 37 % 
so geäußert. Von der DOAG 
sehen knapp über 50 % ihre 
Interessen in diesem Bereich 
„gut“ oder „sehr gut“ vertreten. 
Das mag auch daran liegen, 
dass die Vereinigung inzwi- 
schen Mitglied der Internatio- 
nalen Oracle User Community 
ist und dadurch direkter Kon- 
takt zum Oracle-Hauptquartier 
besteht. (ck) 


SGI und Oracle virtualisieren 


Auf der diesjährigen Oracle 
World demonstrierte SGI ge- 
meinsam mit SWsoft (www. 
swsoft.com) die Virtualisie- 
rung von Oracle-Datenbanken 
auf seinen Altix-Servern. Die 
Linux-Variante von SWsofts 
Virtuozzo lieferte dabei den 
Unterbau für einen Oracle- 
Cluster. Nach Angaben der 
beiden Unternehmen lassen 
sich in dieser Umgebung ein- 
zelne Oracle-Instanzen ohne 
Unterbrechungen und Informa- 
tionsverlust zwischen verschie- 
denen physischen Servern ver- 
schieben. Oracle präsentierte 
auf derselben Veranstaltung 


ein eigenes Virtualisierungs- 
produkt. Ausgehend von dem 
freien Xen soll der „VM Ser- 
ver“ auf einem beliebigen 
x32- und x64-System laufen — 
eine vorherige Betriebssys- 
teminstallation sei nicht nötig. 
Zur Verwaltung der virtuellen 
Maschine liefert Oracle ein 
Web-Werkzeug mit. Beide 
Produkte sind kostenlos, der 
Hersteller will lediglich mit 
dem Support Geld verdienen. 
Dafür fallen mindestens 500 
US-$ jährlich an. Die Soft- 
ware steht unter edelivery.ora 
cle.com/oraclevm zum Her- 
unterladen bereit. 


Preview von SQL Server 2008 
mit zweidimensionalen Geodaten 


Seit Mitte November bietet 
Microsoft eine Community 
Technology Preview seines 
SQL Server 2008 online an. 
Damit liegt das Produkt hinter 
dem Zeitplan zurück: Bei der 
Launch-Konferenz Ende Fe- 
bruar dürfte bestenfalls eine 
Beta-Version verfügbar sein. 
Auf der Teched Developers 
Conference kündigte Micro- 
soft an, dass die neue Version 
der Datenbank vektorielle 
Geodaten verwalten könne. 
Dabei unterscheide sie zwi- 
schen den Datentypen Geome- 
try für rechtwinklige Koordi- 
natensysteme (Gauss-Krüger, 
UTM et cetera) und Geography 
für geografische Koordinaten 
(Längen- und Breitenangaben). 
Eine Umrechnung zwischen 


beiden Systemen unter Berück- 
sichtigung der jeweiligen Pro- 
jektion soll SQL Server 2008 
nicht bieten, außerdem be- 
schränkt er sich auf zweidi- 
mensionale Koordinaten. Die 
üblichen Funktionen für diese 
Daten (Entfernung, „ist ent- 
halten“, „schneidet“) bringt er 
für beide Koordinatentypen 
mit. Alle Versionen der Da- 
tenbank sollen Geodaten ver- 
arbeiten, einschließlich der 
kostenlosen Express-Variante. 
Mit geografischen Rasterdaten 
wird SQL Server 2008 jedoch 
nicht umgehen können, sodass 
das Überlagern von Luft- oder 
Satellitenbildern mit vekto- 
riellen Informationen nur in 
der Anwendung zu bewerk- 
stelligen ist. 


Buffer-Overflow in Oracle 10gR2 


Informationen von iDefense 
(labs.idefense.com) zufolge 
können authentifizierte Anwen- 
der auf Oracles Datenbankser- 
ver 10g Release 2 beliebigen 
Code mit den Rechten der Da- 
tenbank ausführen. Dies liege 
an einem Buffer-Overflow in 
der Prozedur XDB.XDB_ 
PITRIG_PKG.PITRIG_DROP 
METADATA, den präparierte 
NAME- und OWNER-Parame- 
ter auslösten. Aus ihnen er- 
zeugt die Prozedur eine SQL- 
Anfrage, prüft deren Länge 
jedoch vor der Übergabe an 
den Server nicht. 

Spezielle Privilegien seien 
für die Ausnutzung der Lücke 


nicht erforderlich. Einen Work- 
around gebe es bislang nicht. 
iDefense verwies auf einen 
Critical Patch Update, den der 
Hersteller bereitstellen müsse. 
Dem widersprach der Oracle- 
Sicherheitsspezialist Alexan- 
der Kornbrust: Die Patches 
vom April 2007 und später 
stellen seiner Meinung nach 
bereits eine Korrektur des Feh- 
lers bereit. Korngold berichtete 
außerdem von einem öffent- 
lichen Exploit für 10.2.01/ 
10.2.02, mit dem sich die Da- 
tenbank zum Absturz bringen 
lasse. Dafür sei lediglich das 
CREATE SESSION-Privileg 
erforderlich. 
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Recht 


Zugriff auf DV-gestützte Buchhaltung 


Finanzbehörden haben bei 
Außenprüfungen von steuer- 
pflichtigen Unternehmen ein 
umfangreiches Einsichtsrecht 
in steuerrelevante Unterlagen 
und Informationen. Dies um- 
fasst unter anderem die Buch- 
haltung eines Unternehmens, 
auch wenn diese mithilfe von 
DV-Systemen geführt wird. 
Jetzt hat der Bundesfinanzhof — 
das in steuerrechtlichen Fragen 
höchste deutsche Gericht - ent- 
schieden, dass die Steuerbehör- 
den auch auf solche elektroni- 
schen Daten zugreifen dürfen, 
die ihnen in Papierform vorlie- 
gen. Ein Unternehmen hatte 
sich geweigert, die DV-Syste- 
me den Kontrolleuren zugäng- 
lich zu machen und stattdessen 
Ein- und Ausgangsrechnungen 
als Ausdruck auf Papier zur 
Verfügung gestellt. Steuer- 


pflichtige müssen den Behör- 
den alle elektronischen Daten 
der Finanzbuchhaltung zur 
Verfügung stellen, urteilten die 
Richter. Ein Steuerpflichtiger 
könne nicht entscheiden, ob er 
Daten elektronisch oder auf 
Papier vorlegt. 

In eine ähnliche Richtung 
geht eine weitere Entscheidung 
des Bundesfinanzhofs. Ein 
steuerpflichtiges Unternehmen 
sperrte den Prüfern den Zugriff 
auf bestimmte Einzelkonten, 
die nach seiner Meinung ohne- 
hin nur zu einer niedrigeren 
Steuer geführt hätten. Auch 
hier erteilten die Richter dem 
Unternehmen eine Abfuhr mit 
dem Hinweis, dass das Zu- 
griffsrecht der Steuerbehörden 
nicht eingeschränkt werden 
darf — gleich aus welchen 
Gründen. Tobias Haar 


Streit um Urheberabgabe für Drucker 


Hersteller von Geräten, die ur- 
heberrechtlich geschützte Wer- 
ke durch „Ablichtung eines 
Werkstücks oder in einem Ver- 
fahren vergleichbarer Wir- 
kung“ vervielfältigen Können, 
müssen dafür eine Abgabe 
zahlen. Die sogenannten Ver- 
wertungsgesellschaften treiben 
die Gebühren ein und verteilen 
sie nach komplizierten Schlüs- 
seln an Autoren und Künstler. 
So steht es im Urheberrechts- 
gesetz. Seit Langem ist aller- 
dings umstritten, ob auch 
Drucker eine Ablichtung ei- 
nes Werkes ermöglichen oder 
nicht. 

Die Gerätehersteller sind 
der Meinung, dass die Ablich- 
tung schon im Rechner erfolgt 
und nicht erst auf dem Dru- 
cker. Aus ihrer Sicht findet die 
Vorschrift über Gerätevergü- 


Vorratsdatenspeicherung ist beschlossen 


Mit dem Beschluss des deut- 
schen Bundestages, die EU-Vor- 
gaben zur Vorratsspeicherung 
von Telefon- und Internetdaten 
in deutsches Recht umzusetzen, 
hat die Diskussion um die stän- 
dig verschärften Sicherheits- 
gesetze in Deutschland einen 
neuen Höhepunkt erreicht. Trotz 
zahlreicher Proteste hat der 
Bundesrat am 30. November die 
umstrittene Gesetzesänderung 
genehmigt. Ab ihrem Inkrafttre- 
ten am 1. Januar 2008 müssen 
Provider sämtliche Telefondaten 
für einen Zeitraum von sechs 
Monaten speichern. Für Inter- 
netdaten gilt eine Übergangs- 
frist, sodass sie erst ab 1. Janu- 
ar 2009 gespeichert werden 
müssen. Brisant ist in den Au- 
gen vieler Kritiker, dass es sich 
um eine verdachtsunabhängige 
Speicherung handelt. Die Daten 
werden auf Vorrat vorgehalten, 
für den Fall, dass man sie ein- 
mal benötigen sollte, beispiels- 
weise in strafrechtlichen Er- 
mittlungsverfahren. 


Die Verpflichtung trifft Tele- 
kommunkationsanbieter und In- 
ternetprovider gleichermaßen. 
Dazu zählen auch Privatperso- 
nen und alle anderen Unterneh- 
men, wenn sie etwa Internet- 
zugänge anbieten — also alle, 
die unabhängigen Dritten eine 
Kommunikation mit technischen 
Hilfsmitteln ermöglichen. Sie 
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umfasst die Speicherung sämt- 
licher sogenannter „Verkehrsda- 
ten“. Hierbei handelt es sich um 
Daten zu Telefonverbindungen 
- etwa im gleichen Umfang wie 
auf Einzelverbindungsnachwei- 
sen —, Daten zum Verbindungs- 
aufbau mit dem Internet ein- 
schließlich der IP-Adressen 
sowie Daten zu E-Mail-Verkehr, 
SMS und Telefaxen. Daneben 
sollen auch Standortdaten und 
Informationen zur Geräte-Iden- 
tifikation wie die IMEI-Num- 
mer bei Mobilfunkgeräten und 
Funkzellenangaben erfasst und 
zugeordnet werden. Die Inhalte 
der Kommunikation können 
Provider auf der Grundlage die- 
ses Gesetzes jedoch nicht spei- 
chern, da es sich bei ihnen nicht 
um Verkehrsdaten handelt. Viel- 
mehr soll es den Behörden mög- 
lich sein, die gesamte elektro- 
nische Kommunikation einer 
Person zu analysieren. 


Flatrate schützt 
vor Speicherung nicht 


Die Gesetzesänderung setzt eine 
entsprechende Richtlinie über 
die  Vorratsdatenspeicherung 
der Europäischen Union aus 
dem Jahr 2006 um, der damals 
außer Irland und der Slowakei 
alle EU-Mitgliedsstaaten zuge- 
stimmt hatten. Mit dem Gesetz 
ist nun auch wieder eine syste- 


matische Speicherung der Ver- 
kehrsdaten bei Flatrate-Nutzern 
vorgeschrieben, die zuvor mehre- 
re Gerichte untersagt hatten. Ins- 
besondere T-Online war mehr- 
fach verklagt worden, weil der 
Konzern diese Daten gespei- 
chert hatte, obwohl sie zu Ab- 
rechnungszwecken nicht erfor- 
derlich sind. 


Sicher ist, dass sich die deutschen 
Gerichte bis hin zum Bundesver- 
fassungsgericht mit den Neurege- 
lungen auseinandersetzen müs- 
sen. Denn viele Gegner stellen 
die Verfassungsmäßigkeit der 
Bestimmungen infrage und haben 
bereits Klagen angekündigt. Die 
neuen Regelungen könnten gegen 
das im Grundgesetz geschützte 
Persönlichkeitsrecht, das Fern- 
meldegeheimnis, die Pressefrei- 
heit sowie den Verhältnismäßig- 
keitsgrundsatz verstoßen. 


Während einzelne von einem 
„tiefschwarzen Tag für die Bür- 
gerrechte in Deutschland“ spre- 
chen und bedauern, dass sämtliche 
Bürger unter einen General- 
verdacht gestellt werden, vertei- 
digt Bundesjustizministerin Zy- 
pries das Gesetzespaket. Nach 
ihrer Auffassung befindet sich 
Deutschland nicht auf dem Weg 
zu einem Überwachungsstaat. 
Außerdem würden nur Daten ge- 
speichert, die ohnehin anfallen. 

Tobias Haar 


tungen auf Drucker deswegen 
keine Anwendung und es ist 
keine Abgabe zu zahlen. Dieser 
Auffassung hat sich jetzt erneut 
das Oberlandesgericht Düssel- 
dorf (Urteil vom 13. Novem- 
ber 2007, 1-20 U 186/06) ange- 
schlossen. 

Geklagt hatte Canon gegen 
die Verwertungsgesellschaft 
Wort. In anderen Verfahren, 
etwa dem von Hewlett-Pa- 
ckard gegen die VG Wott, 
hatten die Verwertungsgesell- 
schaften Recht bekommen. 
Jetzt muss der Bundesge- 
richtshof abschließend ent- 
scheiden und damit den Streit 
ein für alle Mal beenden. 
Wenn nicht danach der Ge- 
setzgeber noch eine Änderung 
beschließt, die wiederum zum 
Gegenstand von Gerichtsver- 
fahren wird. Tobias Haar 


Herausgabe von 
SMS-Spammer-Daten 


Der Bundesgerichtshof (Urteil 
vom 19. Juli 2007, Az. IZR 
191/04) hat einen Mobilfunk- 
anbieter dazu verurteilt, Na- 
men und Anschrift eines SMS- 
Spammers herauszugeben. Das 
Besondere an dem Urteil ist, 
dass ein privater Verbraucher 
den Anbieter verklagt hatte. 
Verklagt wurde T-Mobile, weil 
der Verbraucher anhand der Ab- 
sender-Rufnummer der Spam- 
Nachricht erkennen konnte, dass 
es sich um einen Nutzer mit ei- 
ner Rufnummer aus den Num- 
mernblöcken von T-Mobile 
handelte. Streitig war an die- 
sem Fall, ob eine Vorschrift im 
sogenannten Unterlassungskla- 
gengesetz auch für Empfänger 
ungewollter SMS gilt. Nach 
dieser Vorschrift besteht ein 
Auskunftsanspruch auf Namen 
und Adresse des Spammers 
ebenso für Verbraucher, wie die 
Richter jetzt klarstellten. T-Mo- 
bile wollte einen Auskunftsan- 
spruch nur gegenüber Verbän- 
den akzeptieren. Hintergrund ist 
wohl, dass Mobilfunkanbieter 
einen hohen Verwaltungsauf- 
wand befürchten, wenn sich 
vermehrt Einzelpersonen bei ih- 
nen wegen entsprechender Aus- 
künfte melden. Auch die beiden 
Vorinstanzen hatten der Klage 
bereits stattgegeben, die jetzt 
höchstrichterlich entschieden 
wurde. Tobias Haar 
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MARKT + TRENDS 


Recht/Kommunikation 


Einspruch möglich bei Einführung never TLDs 


Bis zu viertausend neue Adress- 
zonen im Netz erwarten Do- 
main-Fachleute als Folge der 
anstehenden Öffnung des Do- 
main Name System (DNS) 
durch die Internet Corporation 
for Assigned Names and Num- 
bers. Das schätzte deren Präsi- 
dent und CEO Paul Twomey 
anlässlich des IGF in Brasilien 
(siehe S. 18). Auf der Basis von 
Vorschlägen des zuständigen 
ICANN-Gremiums, der Gene- 
ric Name Supporting Organisa- 
tion (GNSO), arbeitet ICANNs 
hauptamtliches Büro unter 
Twomey bereits an der Um- 
setzung. Als besonders heikel 
erweist sich die Gestaltung von 
Einspruchsmöglichkeiten ge- 
gen neue TLD-Begriffe. 

Die GNSO hatte nicht nur 
Einsprüche aufgrund geografi- 
scher, Namens- und Marken- 
rechte aufgelistet, sondern auch 
Einwände auf der Basis von 
Moral und öffentlicher Ord- 
nung. Der frisch gewählte Chef 
des ICANN-Direktoriums, Pe- 
ter Dengate Thrush, selbst An- 
walt für Urheber- und Marken- 
rechte, stellt klar, dass sich die 
GNSO mit der Formulierung an 
internationale Regeln angelehnt 
habe. Bei der Umsetzung gel- 


te es zu beachten, dass keine 
böswilligen oder beliebigen 
Einsprüche möglich werden 
und den Prozess der Einführung 
einer neuen Adresszone blo- 
ckieren. Als Anwalt werde er 
dazu beitragen, dass eine klare 
Regel zur Zulässigkeit von Ein- 
sprüchen gezogen werde. 
Vertreter aus dem ICANN- 
Vertretergremium der nicht- 
kommerziellen Nutzer haben 
davor gewarnt, dass strenge 
Regeln dazu führen könnten, 
dass am Ende nur ein kleiner 
Teil von neuen Domain-En- 
dungen als unbedenklich das 
Verfahren passieren könnte. 
ICANN muss darüber hinaus 
Anfragen von TLD-Bewerbern 
aus früheren Verfahren klären. 
So hatte Chris Ambler, Chef 
von Image Online Design, den 
scheidenden Vint Cerf an sei- 
ne Bewerbung um die TLD 
‚web erinnert. Auch weitere 
ehemalige Bewerber aus der 
ersten Bewerberrunde für neue 
Domains aus dem Jahr 2000 
haben ihr Interesse angemel- 
det. Sie haben damals immer- 
hin 50 000 Dollar Bewer- 
bungsgebühr bezahlt. Dieses 
Mal könnte es noch teurer 
werden. Monika Ermert 


iX-Umfrage: J(2)EE klar vor .Net 


Über 600 Teilnehmer konnte die 
— nicht repräsentative — Online- 
Umfrage verzeichnen, die paral- 
lel zu iX 12/07 auf www.ix.de 
lief. Es ging um den Einsatz ei- 
ner Programmier- und Laufzeit- 
Umgebung, und zwar vor allem 
um die Alternative J(2)EE oder 
‚Net. Immerhin 43 % der Ant- 
wortenden setzen auf das Java- 
Framework, die Alternative aus 
Redmond kommt nur auf ein 
knappes Fünftel. Bei rund jedem 
Siebten wird beides eingesetzt, 


Auditwerkzeug: Netze auf 
Sicherheitslücken und Mal- 
warebefall zu überprüfen ist 
die Aufgabe von Pandas 
„Malware Radar“, der in 
neuer Version vorliegt. 


Datensicherheit: Speziell für 
Behörden und Unternehmen 
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und 24 % kommen ohne eines 
der beiden Frameworks aus. Die 
neue Umfrage dreht sich um das 
Ausmaß der E-Mail-Nutzung. 


Wird in Ihrer Firma als Programmier- 
und Laufzeitumgebung Java Enterprise 
Edition, Microsoft .Net, beides oder 
keines von beiden eingesetzt? 


J2EE 43% EEE 
‚Net 19% 
Beides 14% 


24% 


Keines von beiden 


eignet sich die neue Version 
5.2 der Datensicherheitssuite 
SafeGuard von Utimaco mit 
Modul zum verschlüsselten 

Datenaustausch mit Kunden. 


Linux-Virenschutz: Gleich 
drei neue Linux-Lösungen für 
Unternehmen bringt AV-Her- 
steller Eset (www.eset.de) auf 
den Markt, für Gateway, File- 
und Mailserver. 


iX-Veranstaltungen 


Nur noch kurze Zeit laufen die 
Calls for Papers für die Team- 
Conf 2008 und das iX-Cebit- 
Forum Software & Systems. 
Bei der erstgenannten Veran- 
staltung, die im April in Mün- 
chen stattfindet, geht es, wie 
der Name schon andeutet, um 
Microsofts Visual Studio Team 
System. Ort und Zeit eines Ce- 
bit-Forums zu erläutern, sollte 
sich erübrigen. Details zu bei- 
den Veranstaltungen sind wie 
immer auf der Konferenz-Web- 
site der iX (www.ix-konfe 
renz.de) zu finden. 


Dort kann man sich auch für die 
Kerberos-Workshops anmel- 
den, die im Februar in Düssel- 
dorf, München und Zürich statt- 
finden. Die eigentlich erst für 
Juni 2008 geplanten zweitägigen 
Competition-Roadshows zum 
Thema Anforderungsmanage- 
ment finden bereits im März 
statt. Einzelheiten dazu sind bei 
Erscheinen der vorliegenden 
Ausgabe ebenfalls auf der Kon- 
ferenz-Site verfügbar. 


konferenz.de. 


WWW.IX 


IP-Logging auch mit Flatrate 


Seit Langem schwelt die recht- 
liche Diskussion darum, ob In- 
ternetprovider auch bei Pau- 
schaltarifen die dynamischen 
IP-Adressen ihrer Kunden mit- 
loggen dürfen. Aus daten- 
schutzrechtlichen Gründen darf 
eine solche Speicherung - au- 
Ber bei von staatlichen Organen 
angeordneten Überwachungs- 
maßnahmen — durch ein Unter- 
nehmen nur dann erfolgen, 
wenn sie zur Abrechnung des 
Zugangs erforderlich ist. Bei 
Flatrates kommt eine solche 
Speicherung der Nutzungsdaten 
also an sich nie in Betracht, da 
keine nutzungsabhängige Ab- 
rechnung erfolgt. Jetzt hat das 
Amtsgericht Bonn aber ent- 


schieden, dass eine kurzfristige 
Speicherung dieser Daten von 
bis zu sieben Tagen zur Ver- 
meidung und Vorbeugung von 
technischen Störungen erlaubt 
ist. So sieht es eine Ausnahme- 
vorschrift im Telekommunika- 
tionsgesetz vor. Wenn Anfang 
2008 die Gesetzesänderung 
zur Vorratsdatenspeicherung in 
Kraft tritt (siehe eigenen Be- 
richt unten), werden die Provi- 
der sogar verpflichtet sein, Nut- 
zungsdaten sechs Monate lang 
zu speichern. Sie dürfen diese 
aber nur staatlichen Stellen bei 
Vorliegen bestimmter Bedin- 
gungen zur Verfügung stellen 
und nicht zur Störungsbeseiti- 
gung nutzen. Tobias Haar 


Leistungsänderungen nur mit Zustimmung 


Der Bundesgerichtshof hat der 
Praxis etlicher Internetprovider 
einen Riegel vorgeschoben, 
einseitig Inhalt und vertragli- 
che Rahmenbedingungen eines 
ISP-Vertrages zu ändern. Die 
Richter verkannten nicht, dass 
sich Provider in einem dyna- 
mischen Markt bewegen, den 
ständige technische und inhalt- 
liche Änderungen prägen. Des- 
wegen ändern die Provider 
häufig kurzfristig die Beschrei- 
bung ihrer Leistungen. Das 
Recht dazu lassen sie sich von 
ihren Kunden per AGB einräu- 
men. Diese unterliegen in 
Deutschland aber nun einmal 
der strengen Inhaltskontrolle 
durch das AGB-Recht. Trotz 
der hohen Veränderlichkeit auf 
dem ISP-Markt sei ein „allge- 
meiner Anpassungsvorbehalt“ 


des Providers unangemessen 
und deswegen in AGB recht- 
lich unwirksam, so die Richter. 

Dem verklagten Provider 
half auch nicht, dass die Klau- 
sel vorsah, dass Leistungsände- 
rungen dem Kunden zumutbar 
sein müssten. Auch eine weite- 
re Klausel, nach der der Pro- 
vider das Vertragsverhältnis 
durch Stillschweigen des Kun- 
den mit einer Vorankündigung 
von sechs Wochen ändern darf, 
kassierten die Richter. Es bleibt 
für die Provider also nur der 
Weg, technische, kommerzielle 
und vertragliche Änderungen 
mit ihren Kunden über zusätzli- 
che Verträge umzusetzen oder 
Vertragsänderungen wirksam 
zu vereinbaren, also mit aus- 
drücklicher Zustimmung der 
Kunden. Tobias Haar 
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Systemmanagement 


Management vom PC-Hersteller 


Dell nutzte Oracles Kunden- 
messe Openworld dafür, die 
Systemmanagement-Software 
Openmanage in der Ausgabe 
5.3 vorzustellen. Sie soll ins- 
besondere das „Klima“ in Re- 
chenzentren positiv beeinflussen 
und umfasst daher Funktionen 
zur Überwachung des Energie- 
verbrauchs als auch zum Moni- 
toren virtueller Maschinen. Neu 
in dem kostenlosen Produkt ist 
unter anderem die Funktion 
„Inline Firmware Update“ für 
Aktualisierungen im laufenden 
Betrieb. 

Integrierte Anwender- und 
Befehlszeilen-Schnittstellen sol- 
len helfen, die Anzahl der Ma- 
nagementkonsolen zu reduzie- 
ren. Ein Skriptgenerator und die 


Funktion „Custom Update Poli- 
cies“ beschneiden den Aufwand 
fürs Inbetriebnehmen und Ak- 
tualisieren von Programmen. 
Weiter ausgebaut hat Dell auch 
das Managementportfolio zum 
Verwalten von PC-Infrastruk- 
turen. Nachdem man bereits im 
Juli durch den Kauf von Silver- 
back in das Service-Geschäft 
eingestiegen war, wird das 
Angebot der Remote-Manage- 
mentdienste nun mit der Über- 
nahme von Everdream kom- 
plettiert. Damit steht der 
PC-Bauer nach Analyse der Be- 
rater von Ovum aber auch vor 
der Aufgabe, die agentbasieren- 
de Everdream-Lösung und die 
agentenlose Silverback-Soft- 
ware zu integrieren. 


NetlQ steigt in Prozessautomation ein 


Die Attachmate-Tochterfirma 
NetIQ steigt mit Aegus in das 
Segment der IT-Automatisie- 
rung ein. Die Plattform soll 
die bislang in der Administra- 
tion manuell durchgeführten 
IT-Prozesse und -Routinen 
automatisieren und die schritt- 
weise Einführung von „Best 
Practices“ nach ITIL unter- 
stützen. Eine Integration ande- 
rer Managementlösungen er- 
folgt über den Enterprise 
Service Bus von Aegis. Eine 
Correlation Engine erfasst dar- 


Prozessfan: BMC bringt ein 
neues Werkzeug für die Pro- 
zessplanung auf den Markt. 
Das Service Management 
Process Model ermöglicht 
ein visuelles Mapping von 
ITIL-Praxisbeispielen mit 
den detaillierten Prozessen 
und Arbeitsanweisungen der 
Anwendungen fürs Business 
Services Management der 
US-Firma. 


Ausgelagert: CA hat die 
Forschung und Entwicklung 
der eigenen Schutzprogram- 
me (Anti-Virus, Anti-Spy- 
ware, Anti-Spam, Firewall 
etc.) an die indische HCL 
Technologies abgegeben. 
Der US-Firma bleiben Ver- 
trieb und Marketing. Den 
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über Ereignismeldungen unter- 
schiedlicher Herkunft, korreliert 
sie und stößt die notwendigen 
Prozesse gemäß den Workflow- 
Vorlagen automatisch an. Die 
Vorlagen führt eine Process 
Automation Engine aus. Pro- 
zessabläufe lassen sich mit- 
hilfe einer Design-Umgebung 
modellieren. Eine Webkonso- 
le visualisiert die Prozessab- 
läufe, während die Analyse- 
Komponente Einblicke in die 
Effizienz der Durchführung 
geben soll. 


Umsatz wollen sich beide 
Firmen künftig teilen. 


Virtuelle Einkäufe: Quest 
Software übernimmt Provi- 
sion Networks, einen An- 
bieter von Desktop-Virtuali- 
sierungslösungen. Bereits 
im Sommer 2007 hatte die 
US-Firma mit Vizioncore 
und Invirtus zwei auf Virtu- 
alisierung spezialisierte 
Unternehmen gekauft. 


Gevoipt: Realtech hat ein In- 
tegrationsmodul für Ciscos 
Callmanager (CCM) vorge- 
stellt. Es normalisiert CCM- 
Daten im theGuard Network- 
manager und überführt sie in 
die zentrale Configuration 
Management Database 
(CMDB). Die vom CCM ver- 
walteten VoIP-Netzwerke las- 
sen sich so visualisieren und 
überwachen. 
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MARKT + TRENDS 


RFID/Sicherheit 


Sensoren mit RFID-Tags kombiniert 


Wenn Fahrzeugteile, Flach- 
bildschirme, Medizin oder Le- 
bensmittel verrostet oder ver- 
dorben beim Großhändler 
ankommen, sind die Fehler in 
der Warentransportkette und 
der Verursacher des Schadens 
oft schwer zu finden. Mit einer 
Erweiterung von RFID-Trans- 
pondern um Sensorfunktionen 
soll die Frachtüberwachung in 
den Bereichen Pharma, Auto- 
motive und Luftfracht effekti- 
ver werden. Daran arbeiten 
derzeit sechs Industrieunter- 
nehmen unter der Federfüh- 
rung des Fraunhofer-Instituts für 
Physikalische Messtechnik IPM 
im Verbundprojekt TRACK 
(„Traceability: Rückverfolgbar- 
keit durch Autonome Mikro- 
systeme zum kontinuierlichen 
Check von Konsumgütern“; 
www.track-projekt.de). 

Ziel ist eine RFID-Plattform 
mit standardisierten Schnitt- 
stellen, in die Unternehmen je 
nach Bedarf verschiedene, ei- 
gens für diese Anwendung ent- 


wickelte Sensoren integrieren 
können. So überwachen Feucht- 
sensoren rostempfindliche Au- 
toteile und Temperatursenso- 
ren prüfen die Kühlung von 
Medikamenten. Licht- und Be- 
schleunigungssensoren wachen 
darüber, ob Luftfrachtcontainer 
während des Transports geöff- 
net oder stark erschüttert wur- 
den. Während des Warentran- 
sports nehmen die Sensoren 
kontinuierlich Messwerte auf 
und speichern sie samt Zeit- 
marken im RFID-Chip, den 
der Empfänger der Ware per 
Funk berührungslos auslesen 
kann. 

Im Falle einer Reklamation 
lässt sich die Ursache des 
Schadens leicht ermitteln. Ei- 
ne besondere Herausforderung 
liegt nach Angabe der For- 
scher in der Entwicklung ener- 
giesparender und gleichzeitig 
kostengünstiger Sensoren. Erste 
Prototypen sollen im kommen- 
den Jahr in der Praxis erprobt 
werden. Barbara Lange 


SSH für sichere FTP-Übertragungen 


SSH Communications Securi- 
ty (www.ssh.com) hat Tectia 
6.0 um ein neues Produktmit- 
glied namens ConnectSecure 
erweitert. Es soll FTP-Datei- 
transfers und Datenübertra- 
gungen absichern, ohne dass 
Modifikationen in Anwendun- 
gen, Skripts oder Infrastruktur 
erforderlich sind. Dafür bietet 
die Software automatische 
FTP- zu SFTP-Transformation 
oder transparentes FTP- und 
TCP-Tunneling. ConnectSe- 
cure läuft auf Unix-, Linux- 
oder Windows-Plattformen 
und soll kompatibel sein zu an- 
deren SSH-Serverlösungen wie 
OpenSSH oder solchen von 


Logdatenverwaltung: 
syslog-ng von Balabit 
(www.balabit.com), zentra- 
les Werkzeug zur Samm- 
lung und Verwaltung von 
Logdaten zur Systemüber- 
wachung, unterstützt nun 
auch IBMs System-i-Platt- 
formen (vormals AS/400). 
Überdies soll das Werkzeug 
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Drittanbietern. Version 6.0 um- 
fasst zudem einen Windows- 
Client, der auch transparentes 
TCP-Tunneling sowie automa- 
tisches Tunneling durchführt. 
Neu ist außerdem die Unter- 
stützung von Fast Streaming 
Crypticore Ciphers auf Unix- 
und Linux-Plattformen mit In- 
tel-Architektur. Zur Tectia- 
Produktfamilie gehören neben 
ConnectSecure und den Clients 
ein Server, der mit der neuen 
Version für z/OS verfügbar ist, 
sowie ein Manager für die zen- 
trale Verwaltung. Die Produkte 
sind ab Januar 2008 erhältlich, 
der Server 6.0 für z/OS ab 
März. Susanne Franke 


das Einhalten von Daten- 
schutzrichtlinien und -stan- 
dards unterstützen. 


Leoparden-Scanner: 
AV-Spezialist McAfee 
(www.mcafee.com) bringt 
mit VirusScan für Mac v8.6 
einen Virenschutz für das 
neue Apple-Betriebssystem 
heraus. Das Scan-Programm 
lässt sich über McAfees Ma- 
nagementkonsole zentral 
steuern und verwalten. 


TOP 20 der Sicherheitsrisiken 


Ende November veröffentlichte 
das SANS-Institut wie in jedem 
Jahr die 20 größten IT-Sicher- 
heitsrisiken nebst Entwicklun- 
gen im Vergleich zum Vorjahr. 
Signifikant zugenommen hat 
die Bedrohung durch clientsei- 
tige Schwachstellen, an erster 
Stelle steht hier der Webbrow- 
ser. Ungepatchte oder veraltete 
Versionen, aber ebenso Plug- 
ins von Drittanbietern, die Ac- 
tive Scripting zulassen, bieten 
Cyberkriminellen Angriffsflä- 
chen - das gilt für den am meis- 
ten verbreiteten Browser IE 


ebenso wie für Platz 2, Mozil- 
las Firefox. Auch haben die Ri- 
siken bei Office-Anwendungen 
spürbar zugenommen, während 
die Betriebssysteme deutlich 
weniger anfällig für Internet- 
würmer als noch in den Jahren 
davor sind. Unangefochten auf 
Platz 1 bei den Serveranwen- 
dungen sind wie schon im ver- 
gangenen Jahr Web Applica- 
tions. Die weiteren Gefahren, 
Trends und praktische Hin- 
weise zur Risikovermeidung 
finden sich auf der SANS-Web- 
site (WWW.sans.org). 


Mobilfunkgeräte werden zu RFID-Lesern 


Samsung Electronics hat einen 
RFID-Lese-Chip für mobile 
Geräte entwickelt. Als Haupt- 
Einsatzgebiet sieht das Unter- 
nehmen Kartenlesegeräte, die 
sich in Mobiltelefone einste- 
cken lassen. Damit wird das 
Handy zum RFID-Lesegerät. 
Endverbraucher können damit 
zum Beispiel Produkt- und Ser- 
vice-Informationen von Plaka- 
ten, Eintrittskarten oder Klei- 
dungsstücken, die mit 
einem RFID-Trans- 
ponder ausgerüs- 
tet sind, auf ihr 
Handy laden. Der 
6,5mm x 6,5 mm 
große Chip funkt 
im UHF-Band bei 900 
MHz, enthält eine analoge Ein- 
gangsstufe, ein Basisband-Mo- 
dem, einen Prozessor sowie ei- 


nen Speicher. Er ist ab sofort 
verfügbar. Nach Untersuchun- 
gen der Marktforscher der Re- 
search on Asia (RoA) Group soll 
der weltweite Bedarf an RFID- 
Chips für Mobilgeräte von der- 
zeit 26,9 Milliarden US-Dollar 
auf 701 Milliarden im Jahr 2010 
steigen — das entspricht einem 
durchschnittlichen Wachs- 
tum von 196 

Prozent pro 
Jahr. 


Webanwendungs-Firewall lernt mit 


Der Schweizer Hersteller Viso- 
nys (www .visonys.ch) hat seine 
Webanwendungs-Firewall Air- 
lock in Version 4.1 um ein Mo- 
nitoring- und Reporting-System 
erweitert. Eine zentrale Log- 
Engine bearbeitet die verschie- 
denen Protokollinformationen. 
Über eine Suchmaske kann der 
Mechanismus die Log-Meldun- 
gen nach Herkunft, Kategorie 
und Schweregrad filtern, die 
dann über eine Weboberfläche 
angezeigt werden. Bei vordefi- 
nierten Events gibt das System 
eine Alarmmeldung aus. Ein 
grafisches Reporting-Modul 
soll zudem die Auswertung von 
Messdaten wie Antwortzeiten, 
Status-Codes oder Filterergeb- 
nissen ermöglichen. Eine wei- 
tere Änderung betrifft die Anti- 


viren-Prüfprozesse: Eingehen- 
de Anfragen zur Erkennung 
von Viren und Malware sen- 
det die Firewall über eine 
ICAP-Verbindung (Internet 
Content Adaption Protocol) an 
zuvor festgelegte Antiviren- 
Gateways, die sie dort über- 
prüfen. Die Web Application 
Firewall verhält sich dabei wie 
ein ICAP-Client. Die Software 
ist applikationsunabhängig und 
kontrolliert den Zugang zu al- 
len Webanwendungen durch 
plattformübergreifendes Sin- 
gle-Sign-on. Schließlich kön- 
nen Anwender in der Version 
4.1 von Airlock wählen, ob 
die Firewall statisch voreinge- 
stellte URLs erkennen oder ob 
sie dynamisch dazulernen soll. 

Susanne Franke 
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MARKT + TRENDS 


Beruf 


Praxiserfahrung gefragt 


Deutschlands IT-Branche bie- 
tet Hochschulabsolventen gute 
Einstiegschancen — aber nur 
denen mit Berufserfahrung. 
Für fast 80 % aller ausge- 
schriebenen Einstiegspositio- 
nen fordern IT-Unternehmen 
zusätzlich Berufserfahrung von 
den Bewerbern. Praktika allei- 
ne genügen nur für gut jede 
zehnte offene Stelle. Für die 
Mehrzahl aller freien Ein- 
stiegsjobs erwarten Arbeitge- 


ber dagegen tiefer gehende Er- 
fahrungen aus dem Berufsall- 
tag. Knapp 30 % fordern sogar 
erste Erfahrungen im Manage- 
ment oder beim Umsetzen von 
Projekten. Zu diesen Ergebnis- 
sen gelangte die aktuelle Be- 
rufsstudie IT-Jobscout 2007, 
für die der IT-Dienstleister PPI 
AG insgesamt 624 Stellenan- 
zeigen der 100 größten deut- 
schen IT-Unternehmen aus- 
wertete. 


Berufsbegleitender Master-Studiengang 


Die Zentralstelle für Fern- 
studien an Fachhochschulen 
(ZFH), die für die Fachhoch- 
schulen der drei Bundesländer 
Hessen, Rheinland-Pfalz und 
Saarland Fernstudien ent- 
wickelt, stellte einen berufs- 
begleitenden Master-Studien- 
gang Elektrotechnik vor. Für 
das dreijährige Fernstudium 
sind derzeit die beiden Vertie- 
fungsrichtungen Automatisie- 
rung und Mikroelektronik vor- 
gesehen. Die Studierenden 
erhalten nach erfolgreichem 
Studium den international an- 
erkannten akademischen Ab- 
schluss eines Master of Science 
(M. Sc.). Mit dem Master steht 
ihnen sowohl der Weg zur 


Promotion als auch zum höhe- 
ren Dienst bei öffentlichen Ar- 
beitgebern offen. Interessenten 
für das Fernstudium müssen 
ein einschlägiges Hochschuldi- 
plom beziehungsweise Bache- 
lor oder anerkannten äquiva- 
lenten Abschluss nachweisen. 
Als einschlägig gelten Elektro- 
technik, Mechatronik sowie 
Technische Informatik. Zu- 
sätzlich wird eine mindestens 
einjährige Berufspraxis nach 
Abschluss des Erststudiums 
verlangt. Zulassungsanträge 
sind für das Sommersemester 
bis zum 15. Januar zu stellen. 
Unterlagen erhält man unter 
www .zfh.de/informationen/an 
meldung. 


Ohne Abitur zum Studium 


Bewerbern ohne ausreichende 
Hochschulreife räumt die 
Fernuni Hagen die Möglich- 
keit ein, den Zugang zu einem 
Studiengang mittels der Zu- 
gangsprüfung zu erwerben. 
Interessenten, die sich in der 
beruflichen Bildung qualifi- 
ziert haben, wird dies über ei- 
ne Zugangsprüfung einge- 
räumt. Voraussetzungen sind 
ein Mindestalter von 22 Jah- 
ren, eine abgeschlossene Be- 
rufsausbildung sowie eine min- 


Löblich: IBM erhöht die An- 
zahl der Ausbildungsplätze 
an der Berufsakademie (BA) 
ab 2008 um 60 auf 240. An 
der BA werden neben dem 
Studiengang Wirtschaftsin- 
formatik auch Angewandte 
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destens dreijährige Berufstätig- 
keit. Vorab müssen allerdings 
im sogenannten Akademiestu- 
dium Leistungen für den an- 
gestrebten Studiengang, etwa 
Informatik oder Wirtschaftsin- 
formatik, erbracht werden. Die 
nächste Bewerbungsfrist für 
die Teilnahme an der Zulas- 
sung als Akademiestudierende/r 
endet am 15. Januar. Weitere 
Infos unter www fernuni-ha 
gen.de/studium/vor/bewerbung/ 
zugangspruef.shtml. 


Informatik, Dienstleistungs- 
management und Internatio- 
nal Business angeboten. 


Neue Onlinebörse: Unter 
www.critex.com wurde eine 
neue Job- und Projektbörse 
gestartet, die osteuropäische 
IT-Experten und hiesige 
mittelständische Firmen zu- 
sammenbringen soll. 
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MARKT + TRENDS 


Wirtschaft 


Studie zum TK-Markt 2007 


Leicht rückläufig 


Achim Born 


Die Telekommunikationsanbieter müssen sich auf 
rückläufige Geschäfte einstellen. Mengenwachstum 
und DSL-Boom können den Preisverfall nicht 


ausgleichen. 


ie Umsätze mit TK-Diens- 

ten in Deutschland werden 
sich in diesem Jahr auf 63,4 
Mrd. Euro belaufen. Das ent- 
spricht im Vergleich zum 
Vorjahr einem Rückgang um 
2,8 %, obgleich die schiere 
Zahl der Verbindungsminuten 
in Festnetz und Mobilfunk wei- 
ter steigt. Dies geht aus der von 
VATM und Dialog Consult 
GmbH vorgestellten zehnten 
gemeinsamen TK-Marktstudie 
hervor. Von den Gesamtumsät- 
zen entfallen 37 Mrd. Euro auf 
den Festnetz- und 26,4 Mrd. 
Euro auf den Mobilfunkmarkt. 
Bei den Komplettanschlüssen 
konnten VoIP-Anschlüsse den 
Anteil an den Verbindungsmi- 
nuten verdoppeln. Damit ent- 
fallen in diesem Jahr täglich 55 
Mio. Minuten auf IP-Netze. 
Weitere 11 Mio. Verbindungs- 
minuten täglich laufen über 
TV-Breitbandkabel. 


Nach Einschätzung der Stu- 
dienautoren steigt die Zahl der 
direkt geschalteten Breitband- 
anschlüsse bis zum Jahresende 
um 27 % auf 19,1 Millionen. 
Dabei bleibt Deutschland 
DSL-Land. Breitbandanschlüs- 
se über alternative Anschluss- 
arten wie Kabelmodem, Po- 
werline oder Satellit konnten 
ihren Anteil gerade einmal 
von 3,3 auf 4,7 % ausbauen. 
Ihre Anzahl bleibt damit unter 
der magischen Millionen- 
Grenze. Zwei von drei Perso- 
nen mit Breitbandanschluss 
nutzen Downstreams zwi- 
schen 2 und 6 MBit/s. Bei je- 
dem Zwölften geht es noch 
schneller. Jeder Vierte be- 
gnügt sich jedoch mit maxi- 
mal 2 MBit pro Sekunde. Das 
Jährliche Breitband-Verkehrs- 
volumen wird voraussichtlich 
2007 weiter auf 1,023 Mrd. 
Gigabyte steigen. Das durch- 


Kein Morgen für Tomorrownow? 


Mehrere Führungskräfte von 
Tomorrownow, darunter auch 
der Chef Andrew Nelson, 
müssen die SAP-Tochter ver- 
lassen. Des Weiteren prüft das 
SAP-Management nach eige- 
nen Angaben verschiedene Zu- 
kunftsszenarien; ein Verkauf 
wird explizit nicht ausge- 
schlossen. 2005 hatte der 
Walldorfer Softwareriese die 
US-Firma Tomorrownow er- 
worben, um mithilfe kosten- 
günstiger Wartungsangebote 
für Peoplesoft, J.D. Edwards, 
Siebel et cetera im Anwen- 
der-Terrain des Konkurrenten 
Oracle zu wildern. 

Völlig unvorbereitet traf 
die SAPler jedoch dann der 
Vorwurf der Industriespiona- 
ge, den Oracle öffentlichkeits- 
wirksam erhob und der letzt- 
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lich im Frühjahr 2007 in einer 
Anzeige mündete. Nachdem 
zu Beginn das SAP-Manage- 
ment, allen voran SAP-Chef 
Henning Kagermann, noch 
sehr kämpferisch auftrat und 
den Vorwurf brüsk abwies, 
musste es schlussendlich doch 
kleinlaut ein Fehlverhalten bei 
der Tochterfirma einräumen. 
Konkret wurden „nicht an- 
gemessene Downloads“ von 
Oracle-Servern durch Tomor- 
rownow eingestanden. Mit dem 
jetzigen Schritt zieht man 
wohl die späte Konsequenz 
aus dem damaligen Fehlver- 
halten. Auf den Prozessverlauf 
im Rechtsstreit hat die neue 
SAP-Politik jedoch erst einmal 
keine direkte Auswirkung. 
Hier steht noch das Ende der 
Beweisermittlung an. 


schnittliche Datenvolumen 
pro Nutzer ist jedoch weiter- 
hin rückläufig, da der Anteil 
der „heavy user“ im Verhält- 
nis zur steigenden Gesamt- 
nutzerzahl sinkt. Jeder Nutzer 
generiert zurzeit laut Untersu- 
chung pro Monat ein durch- 
schnittliches Datenvolumen 
von 4,5 GB. 

Unangefochten die Num- 
mer eins im um gut 3,6 % 
rückläufigen Festnetzmarkt ist 
die Deutsche Telekom mit ei- 
nem Umsatzanteil von 62,5 %. 
Allerdings konnten die Wett- 
bewerber ihre Einnahmen im 
Festnetz um 0,6 Mrd. Euro 
entsprechend 4,5 % auf knapp 
14 Mrd. Euro steigern. Dieses 
Wachstum erzielen sie primär 
im Bereich der Breitbandan- 
schlüsse, der weiterhin boomt. 
Da die Konkurrenten aber an 
die Deutsche Telekom soge- 


nannte Vorleistungsentgelte 
zahlen müssen, tragen sie 
nach wie vor erheblich zu den 
Umsätzen des ehemaligen 
Staatsunternehmens bei. 

So sind bei einem Kom- 
plettanschluss von jedem Um- 
satz-Euro 52 Cent, bei einem 
Resale-Anschluss der Tele- 
kom von jedem Euro sogar 91 
Cent an die Telekom weiter- 
zureichen. Unter Berücksichti- 
gung dieser „Wertschöpfungs- 
kette“ ist der Ex-Monopolist 
auf dem boomenden DSL- 
Markt ebenfalls der große Ge- 
winner. Denn der Zuwachs in 
absoluten Zahlen liegt mit 
zwei Mio. inklusive der Re- 
seller-Anschlüsse deutlich hö- 
her als der der alternativen 
Festnetzanbieter, die 2007 ge- 
meinsam auf gerade einmal 
1,7 Mio. neue Anschlüsse 
kommen. 
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United Internet bringt sich in Position 


Die United Internet AG (u.a. 1 
& 1 und GMX) baut sukzessive 
ihre Stellung im hiesigen TK- 
Markt aus. Ende November si- 
cherte sich das Montabaur 
Unternehmen für rund 127 
Mio. Euro einen Anteil von 
20,05 % an Versatel inklusive 
Aufstockungsoption. Attraktiv 
macht den seit Längerem als 
Übernahmekandidat gehandel- 
ten Konkurrenten die eigene 
Netzinfrastruktur. Unter ande- 
rem beabsichtigt die Düsseldor- 
fer Firma den Aufbau eines 
VDSL-Netzes in Konkurrenz 
zur Deutschen Telekom. 

Groß geworden ist das 
Unternehmen allerdings ohne 
eigene Infrastruktur, als Re- 
seller von DSL-Anschlüssen 
der Deutschen Telekom. Seit 
Juli bietet man auch Kom- 


plettpakete inklusive Telefon- 
anschluss an und greift hierfür 
auf das Netz von Telefonica 
und QSC zurück. 

Auf jedem Fall besitzt Uni- 
ted Internet nun alle Optionen, 
an der Konsolidierung des 
deutschen Internet-Provider- 
Marktes zu partizipieren. In 
diesem Kontext ist auch der 
kurz zuvor erfolgte Einstieg 
bei Drillisch zu beurteilen. Mit 
dem Mobilfunker beabsichtigt 
man bereits seit geraumer Zeit, 
die Hamburger Freenet zu 
übernehmen, auch wenn Uni- 
ted Internet offiziell die Ver- 
handlungen für gescheitert er- 
klärte. Über eine gemeinsame 
Holding GmbH hält man mit 
Drillisch nun bereits mehr als 
10 % der Anteile an dem Ham- 
burger Unternehmen. 
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MARKT + TRENDS 


Wirtschaft 


Neuausrichtung bei Onvista 


Die Onvista Group will sich 
künftig auf Betrieb und Ver- 
marktung des gleichnamigen 
Finanzportals inklusive der 
Börsen-Community Trading- 
bird konzentrieren. Alle ande- 
ren Geschäftsbereiche — das 
Gesundheitsportal Onmeda, 
der Online-Werbevermarkter 
Ad2Net, der Performance- 
Marketing-Dienstleister Liga- 
tus und das Adress-Broker- 
age-Portal Namendo - stehen 
zum Verkauf an. Hintergrund 
des Strategiewechsels sind die 


Eingekauft: Intuit, Herstel- 
ler der gleichnamigen Fi- 
nanzmanagementsoftware, 
erwirbt Homestead Techno- 
logies. Der Kaufpreis für 
die US-Firma, die unter an- 
derem als Hoster von Web- 
sites für Unternehmen aktiv 
ist, soll dem Vernehmen 
nach rund 170 Mio. Dollar 
betragen. 


Ausgebaut: Die Cundus AG 
hat AIS Consulting über- 
nommen. Durch den Kauf 
erweitert das Duisburger 
Unternehmen die Kompe- 
tenzen im Bereich der be- 
triebswirtschaftlichen Pla- 
nung und Konsolidierung 
auf Basis von SAP- und 
Microsoft-Produkten. AIS 
Consulting verfügt unter an- 
derem über langjährige Er- 
fahrungen mit SAP BPC 
Business Planning and 
Consolidation. 


Mainframe-Fan: Beta 
Systems übernimmt sämtli- 
che Geschäftsanteile der SI 
Software Innovation GmbH. 
Durch die Akquisition wol- 
len die Berliner ihr Main- 
frame-Geschäft, insbesondere 
im Bereich Output-Manage- 
ment und Archivierung, aus- 
bauen. 


Zufrieden: Die britische 
Sage Group steigerte im Ge- 
schäftsjahr 2007 (endete im 
September) den Umsatz hier- 
zulande um 36 % auf 79,7 
Mio. Euro. Der operative Ge- 
winn (EBITA) stieg um rund 
31 % auf 16,5 Mio. Euro. 


neuen Mehrheitsverhältnisse 
in der Unternehmensgruppe. 
Die französische Boursorama 
SA, die inzwischen über 80 % 
der Anteile an der AG hält, 
strebt eine vollständige Über- 
nahme an und hat den übrigen 
Aktionären ein Übernahmean- 
gebot unterbreitet. Das franzö- 
sische Unternehmen plant 
nach seinen Online-Broker Fi- 
matex und das werbefinan- 
zierte Finanzportal Onvista 
mittelfristig eng miteinander 
zu verzahnen. 


Neben dem organischen 
Wachstum, nach Eigenanga- 
be 10 % geht der Zuwachs 
auf die im Juni 2006 erfolgte 
Übernahme des Konkurren- 
ten Bäurer zurück. 


BI-Spezialisten in Not: 
Nach Business Objects 
(SAP) und Hyperion (Ora- 
cle) verliert nun Cognos die 
Eigenständigkeit. Rund fünf 
Mrd. Dollar in bar will es 
sich IBM kosten lassen, sich 
den kanadischen Software- 
Anbieter einzuverleiben. Im 
ersten Quartal des neuen 
Jahres soll der Kauf abge- 
schlossen sein. 


Anstieg: Die deutsche In- 
dustrie erzielte eine neue 
Höchstmarke beim Export 
von Software und ITK- 
Diensten. Im ersten Halbjahr 
2007 stiegen laut Bitkom die 
Ausfuhren um 3 % auf 5,9 
Mrd. Euro. Parallel zum An- 
stieg der Exporte haben die 
Importe von Software und 
ITK-Diensten um 5,3 % auf 
6,3 Mrd. Euro zugelegt. Der 
größte Anteil kommt mit 
fast 20 % aus den USA. Das 
stärkste Wachstum verzeich- 
nen Einfuhren aus Indien, 
allerdings auf einer niedri- 
gen Basis. 


Begehr: HP hat Appetit auf 
ein größeres Stück am Soft- 
waremarkt. Es sind nach In- 
sider-Informationen Über- 
nahmen im Umfang von 
mehreren Mrd. Dollar ge- 
plant. Bereits in den vergan- 
genen anderthalb Jahren hat- 
te HP unter anderem die 
Softwarefirmen Bristol, Mer- 
cury, Opsware, Peregrine 
und SPI geschluckt. 
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Gartners Top-10-Techniken 
für 2008 


1. Green IT 
2. Unified Communications 


3. Geschäftsprozessmodel- 
lierung 


4. Metadaten-Management 
5. Virtualisierung 2.0 


6. Mashup & Composite Apps 
7. Webplattform & WOA 
8. Computing Fabric 


9. Real World Web 
(Einsatz von Echtzeitdaten) 


10. Social Software 


Gariners Top 10 der IT-Trends 2008 


Wer auch im neuen Jahr an 

den CIO-Stammtischen mit- 
reden will, kommt um Gart- 

ners Top-10-IT-Trends nicht 
herum. 


Wieder einmal haben die 
Gartner-Analysten ihrer all- 
jährlichen Fleißarbeit gefrönt 
und die zehn „strategischen 
Technologien“ für IT-Mana- 
ger zusammengetragen. Mit 
dem Adjektiv „strategisch“ 
adeln die US-Berater techni- 
sche Entwicklungen, denen 
sie signifikanten Einfluss auf 
die Unternehms-IT attestieren. 
Die veröffentlichte Liste will 
man allerdings eher als Über- 
legungs- denn als Handlungs- 
empfehlung verstanden wis- 
sen. Die IT-Veranwortlichen 
sollten nach Ansicht der Bera- 
ter die Technologien in ihren 
Planungsprozess einbeziehen 
und entscheiden, ob und wann 
die Einführung für ihre Orga- 
nisation sinnvoll ist. 

Wenig überraschend erkor 
Gartner „Green IT“ zum wich- 
tigsten Thema. IT-Manager 
werden wohl aufgrund gesetz- 
licher Vorgaben nicht umhin- 
kommen, sich intensiv mit der 
CO--Emission ihrer Rechen- 
zentren und IT-Infrastrukturen 
zu befassen. Als Nummer 2 
der zehn wichtigsten Technik- 
themen folgt die Vereinheit- 
lichung der Kommunikation 
(Unified Communications). Die 
Berater umschreiben damit die 
breite Einführung der IP-Tele- 
fonie als Ersatz der traditio- 
nellen Festnetztelefonie und 
klassischen CTI-Lösungen. 
20 % der Unternehmen sind 
nach Einschätzung von Gart- 
ner bereits umgestiegen, 80 % 
sammeln gegenwärtig im Rah- 
men von Testprojekten Ein- 
drücke von entsprechenden 
Anwendungen. 
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Die nächsten beiden Listen- 
plätze belegen Techniken, die 
sich mit der Einführung neuer 
prozess- und serviceorientierter 
Anwendungen befassen. Dies 
betrifft zum einen den organisa- 
torisch-personellen Part. Hier 
fordert Gartner, in den Unter- 
nehmen neue Tätigkeitsfelder 
(Enterprise-Architekt, Prozess- 
architekt oder Prozessanalyst) 
zu etablieren. Zum anderen ra- 
ten die Analysten, die unter- 
schiedlichen Initiativen zum 
Stammdatenmanagement (Meta 
Data Management - MDM) in 
den Bereichen Vertrieb, Ferti- 
gung und Kundenmanagement 
bis 2010 in einem umfassen- 
den EIM-Ansatz (Enterprise 
Information Management) zu 
bündeln. Dabei gehören für sie 
ausdrücklich Service Registries 
oder Anwendungsentwicklungs- 
Repositories in den Einflussbe- 
reich eines solchen EIM. 


Ohne Open Source 


Mit Mashups und Composite 
Apps (Platz 6) sowie Web- 
Plattform und WOA (weborien- 
tierte Architektur, Platz 7) führt 
Gartner weitere Softwarekon- 
zepte aus dem Bereich der 
Composite Apps und SOA als 
bedeutende technische Trends 
an. Komplettiert wird die Liste 
von den Punkten Virtualisie- 
rung, Weiterentwicklung der 
Blade-Technik, dem soforti- 
gen Nutzen von Echtzeitdaten 
aus dem Web und Web-2.0- 
Software (Social Software). 

All dies war, wenn auch 
manchmal mit anderem Zungen- 
schlag oder leicht unterschied- 
licher Schwerpunktsetzung, 
bereits in der Vorjahresliste 
vertreten. Einzig die seinerzei- 
tige Nummer 1 „Open Source“ 
fand heuer keine Aufnahme 
mehr. 
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Internet 


Korrekter Umgang mit E-Mail-Adressen 


Vorsorge- 
maßnahmen 


Bert Ungerer 


Berge von Spam, gefräßige Filter und juristische Unwägbarkeiten 
halten Internet-Anwender nicht davon ab, E-Mail für persönliche 
Nachrichten und als Werbeträger zu nutzen. Sie müssen jedoch 
Vorsicht walten lassen, sollen ihre Mails weder im Abwehr- 
dickicht hängen bleiben noch im Unerwünschten untergehen. 


achrichtentechnisch betrachtet 
A kann das Medium E-Mail (der- 

zeitiges Signal-Rausch-Verhält- 
nis: 1 zu 10) eigentlich schon lange nicht 
mehr funktionieren, aber eine Alternative 
scheint nicht in Sicht. Den Anbietern 
von allerlei Filterverfahren ist es recht: 
Die Mailsysteme der von Spam geplag- 
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ten Empfänger sortieren mit ihrer Hilfe 
bereits bis zu über 90 Prozent aller 
E-Mails als unerwünscht aus. Selbst da- 
mit sind die Eingangsordner der An- 
wender selten spamfrei, enthalten aber 
wenigstens überwiegend Erwünschtes. 
Einer der Gründe für den massiven 
Anstieg des Spam-Volumens in den 


vergangenen Jahren ist — neben den ex- 
trem niedrigen Kosten für die Versen- 
der — ausgerechnet die gestiegene Fil- 
terqualität. Je mehr Werbemüll auf dem 
Transportweg herausfliegt, desto mehr 
Ausstoß produzieren die Spam-Versen- 
der, damit sich ihre Umsatzziele erfül- 
len. Für einen Anwender, dessen Filter- 
systeme 99 Prozent der Spam-Mails 
entsorgen, müssen 100 Müllmails auf 
die Reise gehen, damit er nur eine ein- 
zige erhält. 

Zum Glück sind die Empfänger dem 
nach wie vor ungebremst wachsenden 
Beschuss durch Botnetze und gekaperte 
Kontos bei Yahoo, Google, Hotmail und 
anderen Mail-Providern nicht ganz 
schutzlos ausgeliefert. Postmaster setzen 
Blacklists ein, um E-Mails aus dubiosen 
Quellen erst gar nicht in die eigenen 
Systeme gelangen zu lassen. Zentral ein- 
gerichtete Filtersysteme können massen- 
haft eingehende Mails erkennen und 
aussortieren, und bei manch einem Pro- 
vider hilft es sogar, sich über Spam-Ver- 
sender in dessen Netz zu beschweren. 

All diese Maßnahmen haben leider 
einen entscheidenden Nachteil: Sie 
setzen erst dann an, wenn der Spam 
bereits unterwegs ist und wertvolle IT- 
Ressourcen verbraucht hat. Vorbeugung 
spielt daher ebenfalls eine wichtige Rol- 
le, führt aber auch ein Schattendasein — 
über nicht vorhandenen Spam lassen 
sich keine spektakulären Statistiken füh- 
ren. Einige empfehlenswerte, aber auch 
einige kontraproduktive Maßnahmen 
zur Spam-Vermeidung seien im Fol- 
genden zusammengefasst. Sie betreffen 
nicht nur die Empfängerseite, denn zum 
Spam-Versender kann jeder mehr oder 
weniger unfreiwillig werden, ob Online- 
Marketier oder privater Internet-Anwen- 
der, der noch nicht einmal eine eigene 
E-Mail-Adresse hat. 


Adressen im 
Web verschleiern 


Viele „bespammte“ Adressen stammen 
von Webseiten, auf denen sie zum An- 
bahnen von E-Mail-Kontakten veröf- 
fentlicht sind oder waren. Seit das Kind 
in den Brunnen gefallen ist, kursieren 
Tipps, die Adressen etwa durch willkür- 
liche Zusätze wie „-removethis-“ zu ver- 
schleiern oder durch eine Grafik zu er- 
setzen. Nicht jeder potenzielle Kunde 
oder Interessent kann oder will jedoch 
die korrekte Adresse erraten oder Text 
in einer Grafik erkennen und abtippen. 
Ebenso wirkungsvoll, doch wesentlich 
bequemer für Besucher der Website, 
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Internet 


Was tun mit Mail-Irrläufern? 


Der Liebesbrief von Claudia, die Rechung 
an Peter oder gar die Zugangsdaten von 
Familie Beckers neuem DSL-Anschluss: 
Ein kleiner Vertipper bei der Eingabe der 
Mail-Adresse, und schon landet die Sen- 
dung entweder im digitalen Nirwana oder 
gar bei einem Empfänger, für den sie nicht 
bestimmt ist. Während der erste Fall durch 
die entstehende Fehlermeldung in der Re- 
gel unproblematisch ist, stellt sich bei ei- 
nem falschen Empfänger die Frage, ob und 
in welchem Umfang dieser verpflichtet ist, 
auf den Irrläufer zu reagieren. 


Zunächst einmal ist der Empfänger einer 
E-Mail grundsätzlich berechtigt, diese auch 
zu öffnen und sich Kenntnis von ihrem In- 
halt zu verschaffen. Eine Verpflichtung, auf 
den Inhalt der E-Mail zu reagieren und die 
Beteiligten über die Fehlsendung zu infor- 
mieren, dürfte dagegen im Normalfall nicht 
bestehen. Dabei spielt es auch zunächst kei- 
ne Rolle, ob es sich bei dem Inhalt der Mail 
um einen einfachen Gruß, eine Mahnung 
oder eine Bestellbestätigung handelt. 


Eine solche Verpflichtung könnte sich al- 
lenfalls dann ergeben, wenn der Empfän- 


sind HTML-Umkodierungen der Adres- 
se oder kleine Javascript-Programme, 
die die korrekte E-Mail-Adresse über- 
haupt erst im Webbrowser entstehen 
lassen. Damit lassen sich zumindest 
simplere Adress-Sammel-Programme 
(sogenannte Harvester) austricksen. Ein 
Hilfsmittel für solche Umkodierungen 
findet sich zum Beispiel unter www. 
antispam.de/?topic=encoder. 

Leider sind Webseiten bei Weitem 
nicht die einzige Quelle von Adressen 
(siehe unten). Sie scheinen in letzter Zeit 
sogar an Bedeutung abzunehmen, denn 
im Web lauern mittlerweile zahlreiche 
Harvester-Fallen. Dennoch lohnt es sich, 
ein wenig Zeit in das Gestalten der mail- 
to:-Verweise auf den eigenen Webseiten 
zu investieren. Erstaunlicherweise nut- 
zen die meisten Webmaster sie nur zum 
Angeben der nackten E-Mail-Adresse. 
Doch wenn man schon nicht verhindern 
kann, dass Spammer sie erfahren, so ist 
es mithilfe des mailto:-Tag immerhin 
möglich, zusätzliche Informationen ein- 
zubauen, die Spammer ignorieren und 
die der eigene Mail-Filter daher als Posi- 
tivmerkmal lernen kann. 

Ein praktisches Beispiel dazu findet 
sich auf der Informationsseite zur iX- 
Blacklist www .ix.de/nixspam/dnsbl/. Ein 
Klick auf den mailto:-Link für Austra- 
gungswünsche öffnet nicht nur wie üb- 
lich ein Mailer-Fenster mit der korrekten 
To:-Zeile, sondern trägt auch gleich die 
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ger aufgrund einer vertraglichen oder sons- 
tigen Verbindung zur Wahrung bestimmter 
Fürsorgepflichten gegenüber dem Partner 
verpflichtet ist. Eine solche Pflicht könnte 
sich etwa bei einem Provider ergeben, der 
zufällig eine tatsächlich an einen Kunden 
gerichtete Mail erhält. In diesem Fall wäre 
er aufgrund seiner vertraglichen Pflichten zu 
einer Weiterleitung der Mail verpflichtet. 
Für private Empfänger oder sonstige Dritte, 
die einen Fehlläufer erhalten, gilt dies aber 
nicht. Hier gebietet es allenfalls die Höflich- 
keit, einen der Beteiligten von dem Fehler 
zu informieren. 


An dieser Rechtslage ändern auch die häufig 
verbreiteten sogenannten „Disclaimer“ in 
E-Mails nichts. Auch wenn sie dem Emp- 
fänger Rechtsverbindlichkeit suggerieren 
sollen, ist ihre Wirkung nach deutschem 
Recht nahezu völlig unbedeutend. Eine 
Wirksamkeit hätten derartige „Voodoo- 
Klauseln“ nach hiesiger Rechtslage allenfalls 
dann, wenn zwischen Sender und Empfän- 
ger ein Vertrag geschlossen würde, der den 
Empfänger zu bestimmten Handlungen ver- 
pflichtet. Erklärungen in Disclaimern entfal- 
ten aber als einseitige Willenserklärungen in 


Betreffzeile „Wrong Blacklist Entry“ 
ein. Auf solche Weise lassen sich di- 
verse Voreinstellungen vornehmen, be- 
sonders für sogenannte „Role Accounts“ 
(info@, abuse@ etc.), die häufig unter 
Spam-Massen begraben werden und 
dringend auf Positivmerkmale in den 
eingehenden Mails angewiesen sind. 
Vorsicht beim Verwenden von im 
Web verbreiteten „Mailto-Generatoren“: 
Viele setzen Vorgaben wie „Vorname 
Nachname <mail@example.com>“ nicht 


A-TRACT 


© Spam-Versender steigern ihren 

Ausstoß laufend, doch schwierig 
zu filternde „gut gemeinte”, aber 
unerwünschte E-Mails wie Spam- 
Empfangsbestätigungen und nicht 
selbst bestellte Newsletter sind ein 
mindestens ebenso stark wachsen- 
des Argernis. 


@ E-Mail-Anwender können mit 
gewissen Vorsichtsmaßnahmen 
beim Einrichten und Verwenden 
ihrer Adressen den Spam-Anteil in 
ihrem Posteingang senken. 


@ Nicht nur Versender seriöser 
Werbung, sondern alle Internet- 
Nutzer tragen Verantwortung dafür, 
nicht als Spam-Quelle in Erschei- 
nung zu treten. 


& Co. KG. Veröffentlichung und Vervielfältigung nur 


aller Regel keine Vertragswirkung und sind 
damit für den Empfänger bedeutungslos. 


Eine Verpflichtung, auf Irrläufer zu reagie- 
ren, könnte sich allenfalls — wenn auch in 
unwahrscheinlichen und schwer nachweis- 
baren Fällen — aus dem Strafrecht ergeben. 
So stellt $ 138 StGB die Nichtanzeige ge- 
planter Straftaten unter Strafe. Danach wird 
derjenige mit einer Freiheitsstrafe von bis zu 
fünf Jahren bestraft, der es unterlässt, die 
Behörden oder die Betroffenen rechtzeitig 
von geplanten Straftaten zu informieren. 
Wie sich jedoch schon aus dem hohen Straf- 
rahmen ergibt, gilt dies nicht uneinge- 
schränkt für jede Verfehlung. Von dieser 
Vorschrift erfasst sind vielmehr nur die so- 
genannten „Kapitalstraftaten“ wie Mord, 
Totschlag, Raub oder ähnlich geartete De- 
likte. Eine besondere Ausnahme gibt es 
schließlich im Bereich der Verbreitung von 
Kinderpornografie. Da hier bereits der Be- 
sitz derartiger Bilder strafbar ist, sollte sich 
ein Empfänger von E-Mails mit solchen In- 
halten immer an die Strafverfolgungsbehör- 
den wenden, um nicht selbst in den Ver- 
dacht zu geraten, sie angefordert zu haben. 
Joerg Heidrich 


korrekt um, da sie die spitzen Klammern 
nicht in HTML-Entities verwandeln. Ein 
persönlicher, korrekter Name in der 
Adresszeile ist aber ein besonders star- 
kes Indiz für erwünschte Mails (häufig 
„Ham“ genannt) und sollte auf jeden Fall 
auf der eigenen Webseite auftauchen, 
um Erstkontakte zu unterstützen. Auf 
diese Weise kann ein einziger E-Mail- 
Account mehreren Anwendern und 
unterschiedlichen Zwecken dienen: Je 
nach „Realname“ lässt sich eine E-Mail 
in verschiedene Mail-Ordner zustellen, 
etwa mittels Procmail oder IMAP-Sieve, 
und ganz ohne Namensangabe vielleicht 
in den Ordner „Spam-Verdacht“. 
Neben dem Abgrasen von Websei- 
ten stehen Spammern viele weitere 
Methoden zur Adressengewinnung zur 
Verfügung. Dazu zählt das simple 
Durchprobieren aller möglichen Adres- 
sen (Wörterbuchangriff). Daher sollte 
man sich für einen zunächst unbequem 
erscheinenden „Local Part“ — den per- 
sönlichen Teil vor dem Domainnamen — 
in seiner Adresse entscheiden, etwa 
„nachnavo“ statt „‚vorname.nachname“. 
Alles, was in Namens- oder anderen 
Wörterbüchern auftaucht, finden Spam- 
mer nämlich eines Tages, sodass sich 
der eigene Name schon einmal nicht als 
Adressbestandteil anbietet. Im Gegen- 
teil: Mit dem fest an die E-Mail-Adresse 
geknüpften Namen können sich Infor- 
mationen über Geschlecht, Herkunft und 
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Internet 


Wenn Sie Ihren Account wirklich löschen möchten, geben Sie zur 
Bestätigung bitte Ihr Passwort hier ein: 


Passwort jemeenunaaner | 


Wenn Sie zusätzlich verhindern möchten, dass Sie unter Ihrer 
E-Mail-Adresse erneut eingeladen werden, können Sie Ihre Adresse bei 
uns sperren lassen. Bitte beachten Sie, dass Sie In diesem Fall, auch 
keinen neuen Stammbaum unter dieser Adresse anlegen können! 


„Ja, Ich möchte meine E-Mail-Adresse bei verwandt.de sperren lassen. 


Löschen 


Eine Robinsonliste zum Sperren von 
Adressen gegen ein erneutes 
missbräuchliches Eintragen hat leider 
Seltenheitswert (Abb. 1). 


sogar das ungefähre Alter in Spammer- 
kreisen verbreiten. 

Auch Spammer haben ihre Gewohn- 
heiten, und dazu gehört das Nutzen eines 
beschränkten Zeichensatzes. Wer Adres- 
sen einrichtet, die sonst selten genutzte 
Zeichen enthalten, etwa Plus- oder 
Gleichheitszeichen, darf damit rechnen, 
wenig oder gar keinen Spam zu erhalten. 

Zum Glück sind einfach zu merken- 
de E-Mail-Adressen selten wirklich 
notwendig, denn in mindestens 99 
Prozent der Anwendungsfälle setzt sie 
das Mailprogramm oder der Web- 
browser automatisch ein, statt dass sie 
jemand eintippt. Manchmal sind sim- 
ple Adressen sogar kontraproduktiv. 
Im Fall von GMX mit zahlreichen 
Top-Level-Domains etwa führen ver- 
meintlich wertvolle Adressen wie 
„john®@...“ und „michel@...“ immer 
wieder zu Verwechslungen und ber- 
gen damit die Gefahr von Zustellfeh- 
lern oder Irrläufern (siehe Kasten 
„Was tun mit Mail-Irrläufern?“). 

Und das ist nicht die einzige Kompli- 
kation: Wer sich eine einfache Freemai- 
ler-Adresse & la „paul@gmx“ einrichten 
möchte, benötigt dafür nicht nur eine ge- 
hörige Portion Glück, dass die Wunsch- 
adresse frei ist. Er muss sich auch da- 
rüber im Klaren sein, dass solche 
Adressen mit Sicherheit schon mindes- 
tens einen Vorbesitzer gehabt haben, 
wenn der Freemail-Provider den betref- 
fenden Domainnamen bereits jahrelang 
anbietet. Und wer eine „gebrauchte“ 
Adresse benutzt, kann es noch lange zu 
spüren bekommen, was der Vorbesitzer 
damit alles angestellt hat. 


Eine einzige 
Adresse genügt 


Ebenfalls Spam-minimierend wirkt es 
sich aus, wenn ein Unternehmen nicht 
sämtliche seiner Domainnamen (exam 
ple.com/net/org...) für E-Mail nutzt, 
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sondern sich für eine Domain entschei- 
det, über die es sämtliche E-Mails ab- 
wickelt. Die Zeiten, da der Besitz vieler 
gültiger Mailadressen als schick galt, 
sind längst vorbei. Adressen, die gar 
nicht erst im Einsatz sind, können auch 
keinen Spam anziehen. Wer mehrere 
TLDs nutzt, tut das entweder in der 
Hoffnung, mehr Besucher auf seine 
Website zu locken oder Konkurrenten 
ein Schnippchen zu schlagen, die 
ebenfalls an der Domain interessiert 
sein könnten — nicht aber zu dem 
Zweck, den eigenen Briefkopf mit 
Mailadressen zu füllen, die alle zum 
selben Ziel führen. 

Wer beim Einrichten seines Domain- 
namens noch vor der Auswahl einer 
Top-Level-Domain (TLD) steht, kann 
davon ausgehen, dass eine Domain um- 
so mehr Spam anzieht, je länger die 
TLD auf dem Markt ist. So haben einige 
vor gut einem Jahr registrierte, sehr ein- 
fache iX-Testadressen unter der seiner- 
zeit neu eingerichteten Domain gmx.eu 
bis heute keine einzige Spam-Mail an- 
gezogen, während einfache Adressen 
unter gmx.com und gmx.de ohne Spam- 
filter kaum mehr benutzbar sind. 

Wie viel Sorgfalt auch immer ein 
Mail-Anwender beim Einrichten seiner 
Adresse walten lässt: Jede noch so 
trickreich vor Web-Harvestern und 
Wörterbuchangriffen geschützte Adres- 
se kann früher oder später dennoch in 
der Datenbank eines Spammers landen. 
So sind immer wieder automatische 
Antworten an Mailinglisten zu beob- 
achten, die in Webarchiven landen. Ne- 
ben Webseiten Dritter gibt es weitere 
öffentliche Quellen, etwa Whois-Da- 
tenbanken oder Schlüsselserver, in de- 
nen sich die Adressen nicht ver- 
schleiern lassen. 

Besonders interessante Adressquel- 
len für kriminelle Spammer sind „ent- 
eignete“, Malware-verseuchte PCs, die 
sich nicht nur als „Bots“ zum Versen- 
den von Datenmüll, sondern auch zum 
Ausspähen persönlicher Informationen 
des ursprünglichen Besitzers nutzen 
lassen. Dazu gehören neben digitalen 
Adressbüchern und dem eigentlichen 
Mail-Bestand praktischerweise auch 
die E-Mail-Accounts - einer der Grün- 
de dafür, warum auch ganz normale 
Mailserver seriöser Internetprovider als 
Spamquellen auftreten können. 

Wer halbwegs sicher sein möchte, 
dass sein PC nicht zum Teil eines Bot- 
netzes wird, sollte die üblichen Maßnah- 
men gegen PC-Verseuchung ergreifen: 
Keine Mail-Anhänge aus unbekannter 
Quelle öffnen, keine Software zweifel- 


hafter Herkunft installieren und einen 
aktuellen Malware-Scanner einsetzen. 
Und wenn der PC nur während der 
Arbeitszeit und nicht rund um die Uhr 
läuft, spart das nicht nur 75 % der 
Energie, sondern mindert auch mögli- 
che Verseuchungsfolgen. Dem Miss- 
brauch eigener Ressourcen durch Un- 
bekannte begegnet man nicht zuletzt 
auch dadurch, kein ungeschütztes 
WLAN und keinen PC ohne Router 
direkt am Internet zu betreiben. 


Sonderlab]fall Bounces 


Nicht jede unerwünschte Mail im Post- 
eingang ist direkt auf Tätigkeiten krimi- 
neller Spammer zurückzuführen. Dazu 
gehören überraschende Benachrichti- 
gungen über den Zustellstatus von 
Spam-Mails („Bounces“) und viele an- 
dere automatisch erzeugte Nachrichten, 
die deren Empfänger nicht selbst ausge- 
löst hat, etwa Abwesenheitshinweise 
und Empfangsbestätigungen von Un- 
bekannten oder gar Bitten um eine 
Absender-Verifizierung (zusammen- 
fassend „Backscatter“ oder auch „Col- 
lateral Spam“ genannt). Hinzu kommen 
eigentlich seriös erscheinende Werbe- 
mails, die der Besitzer der Empfänger- 
adresse aber niemals bestellt hat. All die- 
sen Erscheinungen ist gemeinsam, dass 
ein Spamfilter sie schlecht zu fassen be- 
kommt. Hier sind die Verursacher ge- 
fragt, Gegenmaßnahmen zu ergreifen. 

Die Ursache für Bounces liegt darin, 
dass Spam häufig gestohlene Absender- 
adressen (Envelope-From) trägt, an die 
Fehlermeldungen und andere automati- 
sche Antworten gehen. Pauschal unter- 
drücken sollte man insbesondere keine 
Bounces mit Unzustellbarkeitsbenach- 
richtigungen (Non-Delivery Notifica- 
tions, NDN), denn sie können sich ja 
durchaus auch auf tatsächlich selbst 
versendete E-Mails beziehen und gehö- 
ren zwingend zum SMTP-Standard. 

Ein Mailserver sollte möglichst 
wenige dieser schwer in den Griff zu 
bekommenden Nachrichten versenden. 
E-Mail basiert jedoch auf Speichern und 
Weiterleiten, daher lassen sich Boun- 
ces nie ganz vermeiden. 


Blacklist-Risiko 
durch Abpraller 


Nicht nur die Rücksichtnahme gebie- 
tet es, seine Mailsysteme weitgehend 
Bounce-frei zu gestalten. Wer viele 
Bounces generiert, läuft stets Gefahr, 
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Internet 


auf schwarzen Listen zu landen und 
dann nicht mehr nur keinen Backscatter, 
sondern gar keine Mails mehr versen- 
den zu können. Ähnliches gilt für Ur- 
laubsantworten und Empfangsbestäti- 
gungen. Das Versenden automatisch 
generierter E-Mails birgt stets ein ho- 
hes Risiko und sollte nur dann erfol- 
gen, wenn einigermaßen sichergestellt 
ist, dass die verursachende E-Mail ge- 
rade keinen Spam oder Virus enthält. 
Wer selbst E-Mails nach dem Motto 
„Von Ihnen ging Spam aus“ versendet, 
dem ist nicht bekannt, dass die Absen- 
deradressen in Spam nicht authentisch 
sind und in vielen Fällen Unbeteiligten 
gehören. Leider gehören dazu sogar ei- 
nige Hersteller von Anti-Spam-Lösun- 
gen, die es ihren Kunden ermöglichen, 
auf den Eingang von Spam mit einer 
Antwort-Mail zu reagieren. 

Zu den besonders hartnäckigen Ver- 
ursachern von „Collateral Spam“ gehö- 
ren die sogenannten Challenge-Res- 
ponse-Systeme (CR). Sie verlagern den 
Aufwand des Filterns vom Empfänger 
auf den Absender — und vor allem auf 
die vielen Besitzer der von Spammern 
missbrauchten Absenderadressen. Schon 
wegen des hohen False-Positive-Risi- 
kos verbieten sich CR-Lösungen von 
selbst, denn die Challenge-Mails müs- 
sen ihrerseits Spamfilter passieren oder 
führen gar zu Blacklistings. Auch wenn 
CR-System A auf CR-System B trifft, 
kann es nicht mit der Kommunikation 
klappen. 


Ärger mit Massenmails 


Ebenfalls massenhaft und automatisch 
versendet, aber mehr oder weniger per- 


Viele — auch namhafte — Unternehmen 
schaffen es auch nach langer Internet-Prä- 
senz nicht, nur verifizierte Empfängeradres- 
sen zum Versenden ihrer Newsletter zu ver- 
wenden (‚Double Opt-in“). Unter anderem 
bei den folgenden Unternehmen, die zum 
Teil massiv auf Werbung per E-Mail setzen, 
kann anscheinend jeder jede Adresse eintra- 
gen: Apple, Autoscout24, aspect online, 
Axa, Cinemaxx, Conrad, ino24, einsurance, 
Procter & Gamble, Skype, Tchibo, Univer- 
sal Music und Volkswagen. 


Auch das laufende Überwachen der ver- 
wendeten Adressen auf Erreichbarkeit, das 
Austragen unerreichbarer oder jahrelang 
passiver Kunden gelingt selbst großen 
Unternehmen häufig nicht, was nicht zu- 
letzt Sicherheitsbedenken aufwirft. So er- 
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Gelegentlich eingesetzte Positiv-Merkmale 

From: Beispielfirma <info@example.org> 

To: Bert Ungerer <un@ix.de> 

Subject: Preissenkungen im Dezember 

Guten Tag, Herr Ungerer, 

anbei finden Sie Neuigkeiten aus unserem Programm. 
(Es folgen diverse gut lesbare Informationen.) 


Oft vorkommende Negativbeispiele 

From: noreply@example.com 

To: Unsere Kunden 

Subject: Herr asdf, Gratisinfo für Sie 

Klicken Sie hier, wenn Ihr Mailprogramm 

den Inhalt nicht richtig darstellt. 

(Bild auf einem externen Server, von dem das Mailprogramm 


aus Datenschutzgründen nur den Umriss anzeigt) 


Klicken Sie hier, wenn Sie den Newsletter nicht mehr 
erhalten wollen, oder senden Sie eine leere E-Mail an 
optout-un=ix.de@example.org 


Sie erhalten diesen Newsletter, weil Sie sich bei uns oder bei unseren 
Partnern angemeldet haben. Zum Verwalten Ihrer Einstellungen loggen 
Sie sich bitte ein. 


Ein brauchbarer Newsletter geht nur an bestätigte Adressen und gibt darüber 
Auskunft, an welche Adresse er ging und wie sie sich auf einfache Weise aus 
der Empfängerliste löschen lässt. Weniger empfängerfreundlich sind Eintra- 
gungen durch Dritte, unerreichbare Absender, eine anbiedernde bis aggressive 
Anrede in der Betreffzeile und komplizierte Austragungsprozeduren. 


sönlich adressiert, befördert das soge- 
nannte „Permission Marketing“ täglich 
Millionen von Werbemails („Newslet- 
ter“) in die Eingangsordner. In vielen 
Fällen sind es tatsächlich angeforderte 
Kundeninformationen, doch häufig neh- 
men es die Absender nicht so genau da- 
mit (siehe Kasten). Einen großen Unter- 
schied zum „echten“ Spam sehen viele 
unfreiwillige Empfänger in den News- 
lettern nicht, und tatsächlich sind die 
Übergänge fließend. 

Rolf Anweiler vom Newsletter- 
Dienstleister eCircle schätzt, dass im 
Konsumentenbereich bis zu 20 Prozent 
eines Adressenbestandes jährlich nutz- 
los werden können - sie sind also ent- 
weder gar nicht mehr erreichbar oder 
wechseln den Besitzer. Anweiler bringt 
den Grund dafür auf den Punkt: ‚„‚Weni- 
ge Kunden überprüfen im E-Mail-Mar- 
keting wirklich sorgfältig und vor allem 
regelmäßig Ihren Adressenbestand, da 
die Rückläufer im Gegensatz zum Brief 
nur geringe Kosten verursachen.“ Mit 


Werbung auf Abwegen 


halten neue Besitzer alter Adressen unter 
anderem Kundenpost von 1&1, Amazon, 
Commerzbank, DAB bank, Deutsche Tele- 
kom, Ebay, Freenet, GMX, O2, Paypal, 
Talkline, Tiscali. 


Es scheint schwierig zu sein, E-Mail-Wer- 
bung nicht an die falschen Adressaten zu 
richten. Daher sollten darin Informationen 
enthalten sein, wie sie sich umgehend ab- 
stellen lässt, etwa per unmittelbar nutzbarem 
Web-Link, ohne Login, Passwort, Bestäti- 
gungsmails oder andere Komplikationen. 
Schwierig ist die Austragung jedoch zum 
Beispiel für unfreiwillige „Kunden“ der 
Commerz- und der DAB bank, von Freenet 
oder KLM. 


Manche Absender bieten eine Austragung 
per Antwortmail an, jedoch leider selten 


anderen Worten: Das Medium ist sogar 
dann zu billig, wenn legale Kunden da- 
für bezahlen. Und daher wird es noch 
lange E-Mails geben, die niemand ha- 
ben will und die dennoch Millionen von 
Empfängern erreichen. (un) 
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unabhängig von der tatsächlichen Adresse, 
die ja ein Weiterleitungsziel sein kann. 
Und eine „Robinsonliste‘“ zwecks Sperrung 
einer Adresse gegen jegliche zukünftige 
Aussendung hat Seltenheitswert. 


Wenn keiner der genannten Wege funk- 
tioniert, bleiben nur noch Beschwerden 
bei den technisch verantwortlichen Ab- 
sendern. Mit etwas Glück findet der un- 
freiwillige Empfänger seinen Kandidaten 
in der „Certified Senders Alliance“, die 
der eco-Verband ins Leben gerufen hat (cer 
tified-senders.de). Dann kann eine Mail 
an whitelist-complaints@eco.de helfen, 
die Fehlerursache zu beheben. In vielen an- 
deren Fällen ist es nicht so leicht, überhaupt 
jemanden mit einem offenen Ohr für Wer- 
begeplagte zu finden. X 
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Internet 


IP-Blacklists sinnvoll kombinieren 


Blockwerk 


Christian Rossow, Christian Dietrich, 


Norbert Pohlmann 


Trotz eines Spam-Anteils jenseits 
der 90 Prozent funktionieren die 


Mailserver bei Providern, Unternehmen : 


und anderen größeren Organisationen, 


und die Anwender nutzen ihr 
Lieblingsmedium weiterhin 
unverdrossen. Großen 
Anteil daran haben 
IP-Blacklists, von 
denen viele Post- 


master sogar 
mehrere einsetzen. 


lacklists sind umstritten. Doch 
B solche Verzeichnisse von IP- 

Adressen Spam-versendender 
Rechner bilden anerkanntermaßen ei- 
nen wichtigen Schutzmechanismus im 
Kampf gegen den Missbrauch von 
Internet-Ressourcen. Eine Reihe von 
ihnen lässt sich kostenlos nutzen. Bei 
der Auswahl von Blacklists zur Spam- 
Abwehr auf einem Mailsystem verlas- 
sen sich viele Systemadministratoren 
und IT-Entscheider aufs Hörensagen 
oder auf ihr Gefühl. Die Erfahrung an- 
derer ist — wie so oft — ein wichtiger 
Gesichtspunkt bei der Auswahl von 
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Blacklists. Das Folgende stellt, basie- 
rend auf empirischer Inhaltsanalyse ei- 
niger frei verfügbarer Blacklists, wei- 
tere Anhaltspunkte dar, die bei der 
Auswahl und insbesondere beim Kom- 
binieren von Blacklists helfen können. 

Das Markieren, mehr noch das Blo- 
ckieren von Spam anhand der IP-Adres- 
se des Absenders hat den Vorteil, dass 
es enorme Ressourcen sparen kann. Der 
SMTP-Dialog wird dann in der Regel 
bereits in einem frühen Stadium durch 
das annehmende Mailsystem unter An- 
gabe eines Fehlercodes beendet (Re- 
ject). Es findet also keine Übertragung 


des Inhalts der E-Mail statt, und der an- 
nehmende Mailserver muss sich gar 
nicht erst um die Verarbeitung küm- 
mern. Dies macht sich umso vorteilhaf- 
ter bemerkbar, je stärker der Mailserver 
ausgelastet ist. Anti-Spam-Maßnahmen 
wie Inhalts- und Virenfilter erfordern 
sehr viel /O- und Rechenleistung. 


Blockieren als 
zweischneidiges Schwert 


Allerdings ergibt sich ein potenzieller 
Nachteil beim Einsatz von IP-Blacklis- 
ting. Wer beispielsweise — wie es immer 
wieder vorkommt - einen eigentlich le- 
gitimen Ausgangs-Mailserver blockiert, 
den Spam-Versender missbrauchen, ent- 
hält seinen Anwendern auch erwünschte 
E-Mails von dort vor. Der gelistete Pro- 
vider gerät dadurch unter Druck und 
muss sich um eine Austragung seiner 
IP-Adresse kümmern, will er seine Kun- 
den behalten. Blacklist-Betreiber und 
-Anwender müssen insbesondere bei 
großen Providern mit Augenmaß vorge- 
hen, da sonst möglicherweise ein einzel- 
ner Benutzer durch den Versand von 
Spam Tausende von Anwendern des- 
selben Mailservers in Mitleidenschaft 
ziehen kann. Andererseits hilft dieser 
Druck mitunter, dass Provider schnell 
reagieren und den Spammer aus ihrem 
Netz befördern. Leider gibt es aber auch 
viele Beispiele, in denen Provider weder 
auf Beschwerden über spammende Kun- 
den noch auf Blacklistings reagieren. 

Es ist daher für Anwender von IP- 
Blacklisting umso wichtiger, auf eine 
nachvollziehbare und vertretbare Art 
und Weise Spam-Abwehr zu betreiben: 
Zum einen, um den eigenen Kunden 
und Anwendern einen angemessenen 
Schutz zu bieten, zum anderen, um im 
Falle eines Listings eine klare Begrün- 
dung geben zu können. 


Blacklists arbeiten 
unterschiedlich 


Vor diesem Hintergrund ist es interes- 
sant, inwieweit die Inhalte, also die ge- 
listeten Adressen verschiedener Black- 
lists, einander überschneiden oder auch 
ergänzen. Dies könnte Administratoren 
Hinweise darauf geben, wie viele und 
vor allem in welcher Kombination 
Blacklists sinnvoll zur Spamabwehr 
geeignet sind. 

Blacklists unterscheiden sich hin- 
sichtlich der Policy, die darüber be- 
stimmt, welche IP-Adressen auf die 
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Internet 


Hl, 


Empfänger 
(Eingangs-Mailserver] 


IP-Adresse: A.B.C.D 
(Mailserver, Bot, ...) 


Blacklist-Abfrage 
Ist die IP-Adresse A.B.C.D in 
, der Blacklist aufgeführt? 


Blacklist-Server 


Mithilfe einer während des SMTP- 
Dialogs abgefragten, oft von 
externen Dienstleistern betriebenen 
IP-Blacklist können Mailserver 
darüber entscheiden, welche E-Mails 
sie als spamverdächtig markieren 
oder gleich ablehnen. Fürs Filtern 
nach der Zustellung beim 
Endanwender sind sie weniger gut 
geeignet (Abb. 1). 


Liste gelangen können. Oft sind Black- 
lists in mehrere Subzonen mit speziel- 
len Policies unterteilt. Darüber hinaus 
unterscheidet sich die Dauer des Lis- 
tings einer IP-Adresse. Manche Black- 
lists entfernen IP-Adressen nach einer 
definierten Zeit, beispielsweise die 
Blacklist der iX-Redaktion (www.nix 
spam.org) nach derzeit vier Tagen. An- 
dere lassen IP-Adressen für unbestimm- 
te Zeit in der Blacklist und entfernen 
Einträge allenfalls bei begründeten Be- 
schwerden der Gelisteten. 

Blacklists weisen unter anderem 
wegen der unterschiedlichen Policies 
deutliche Unterschiede in ihrem Um- 
fang auf. Einige führen lediglich ein- 
zelne IP-Adressen unabhängig vonein- 
ander auf, die beispielsweise nur dann 
Eingang in die Liste finden, wenn sie 
tatsächlich als Spam-Quelle auftreten. 
Andere listen dagegen ganze IP-Adress- 
bereiche, etwa dann, wenn in bestimm- 
ten Subnetzen eine gewisse Zahl ein- 
zelner IP-Adressen als Spam-Quellen 
aktiv und ein Kollateralschaden in der 


Name Adressbereich Einträge IPv4-Anteil Nutz-Anteil 
pbl.spamhaus.org 320 152 000 130 000 7,4541 % 18,3826 % 
xbl.spamhaus.org 5 789 000 5789 000 0,1348 % 0,3324 % 
CBL 5.212 000 5.212 000 0,1214% 0,2993 % 
all.dnsbl.sorbs.net 5.090 000 2 836 000 0,1185 % 0,2923 % 
dnsbl.njabl.org 4 459 000 4 459 000 0,1038 % 0,2561 % 
dnsbl.ahbl.org 3 488 000 3 132 000 0,0812% 0,2003 % 
dnswl.org (Whitelist) 2 867 000 9.000 0,0668 % 0,1647% 
sbl.spamhaus.org 1 807 000 5.000 0,0421 % 0,1038% 
UCEPROTECT L] 801 000 801 000 0,0187% 0,0460% 
NiX Spam 78 000 78 000 0,0018% 0,0045 % 


„Adressnachbarschaft“ unwahrschein- 
lich ist. Solche Blacklists können we- 
sentlich größere IP-Adressbereiche ab- 
decken, ohne dass tatsächlich von jeder 
einzelnen IP-Adresse Spam ausging. 

Der Anteil der gelisteten Adressen 
lässt sich an der theoretischen Gesamt- 
zahl von IP-Adressen messen. IPv4 
stellt rund 4,2 Milliarden zur Verfü- 
gung. Für die Praxis ist allerdings der 
Anteil der gelisteten Adressen an der 
praktisch nutzbaren Menge zugewiese- 
ner IP-Adressen aussagekräftiger (sie- 
he Tabelle), die derzeit etwa bei der 
Hälfte der Gesamtzahl liegt. 


Optimieren 
durch Vergleichen 


Eine besondere Stellung nimmt in der 
Vergleichstabelle die Liste dnswl.org 
ein. Es handelt sich nicht um eine 
Black-, sondern um eine Whitelist mit 
dem Ziel, die Zahl von Fehlalarmen 
durch gelegentlich auf Blacklists auf- 
tauchende „richtige“ Mailserver zu re- 
duzieren. So gibt es eine Menge Spam, 
der zum Beispiel von Google- oder 
Yahoo-Accounts ausgeht, aber nicht 
jeder möchte solche namhaften Mail- 
Provider aussperren, wenn sie mal wie- 
der die Aufnahme in eine Blacklist 
ausgelöst haben. dnswl.org listet gezielt 
solche Server, denen man zutrauen 


A-TRACT 


© Zum Entlasten von Mailservern, Verbessern der Filterquote und um Druck auf 
spammerfreundliche Provider auszuüben, setzen viele Postmaster Blacklists mit 
IP-Adressen ein, von denen Spam ausgeht. 


© Diverse Blacklists bieten sich für den Einsatz an, doch nicht jede Kombination eignet 
sich für einen effizienten Mailserver-Betrieb. 


© Selbst umfangreiche Blacklists decken weniger als 10 Prozent des gesamten 
IPv4-Adressbereichs ab und treffen über den Rest keine Aussage. 


© Zukünftig dürften Verfahren an Bedeutung gewinnen, die allen IP-Adressen eine 
mehr oder weniger gute Reputation zuordnen können. 
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kann, vor allem tatsächlich erwünschte 
E-Mails zu versenden. 

Eine Vergleichsmatrix zeigt den An- 
teil, der sich in zwei zu vergleichen- 
den Blacklists überschneidet. Die An- 
gabe der Werte erfolgt prozentual, 
gemessen an der Blacklist der Zeile. 

Beim Interpretieren der vorliegen- 
den Auswertung ist zu beachten, dass 
es sich bei der Analyse von Blacklists 
stets um eine Momentaufnahme han- 
delt. Sie ändern sich durch zum Teil 
sehr schnelles Hinzufügen und Entfer- 
nen von Adressen laufend. Die Zahlen 
der hier aufgeführten Blacklists stam- 
men vom 12. Juli 2007. Nicht alle 
Blacklist-Betreiber bieten von sich aus 
ihren kompletten Datenbestand zum 
Download an. Bei einigen war viel 
Überzeugungsarbeit dafür notwendig, 
ausnahmsweise Zugriff auf die Listen 
zu erhalten. 

Die Listen in Form von DNS-Zonen 
oder als Text-Downloads komplett an- 
zubieten, ergibt aber aus mehreren 
Gründen Sinn. Einerseits motiviert man 
Vielnutzer, die Listen zu spiegeln und 
dadurch sowohl viel Traffic zu sparen 
als auch die Informationen über Kom- 
munikationspartner zurückzuhalten, die 
sie sonst mit den DNS-Anfragen preis- 
geben. Zum anderen sind die Nutzer 
weniger abhängig vom Anbieter, falls 
dessen eigene DNS-Server ausfallen. 

Im Vergleich zeigen sich deutlich 
die Beziehungen der Blacklists von 
Spamhaus untereinander. Offensicht- 
lich umfasst die XBL (xbl.spamhaus. 
org) die CBL komplett. Außerdem ent- 
hält die PBL einen Großteil der CBL 
(circa 74 %). Darüber hinaus deckt die 
PBL große Teile anderer Blacklists ab. 
So sind beispielsweise IP-Adressen 
der von der iX gepflegten Blacklist 
NiX Spam zu mehr als 55 % in der 
Liste von Spamhaus enthalten. Umge- 
kehrt führte NiX Spam zum Zeitpunkt 
der Erhebung mit 0,007 % nur einen 
kleinen Bruchteil der PBL, was wegen 
des enormen Umfangs der PBL immer- 
hin rund 21 600 Einträge ausmachte. 
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Blacklist all.dnsbl.sorbs.net UCEPROTECT LI NiX Spam 
all.dnsbl.sorbs.nt - 1,83 0,28 
UCEPROTECT L1 11,61 = 2,34 
NiX Spam 18,32 23,80 = 
dnsbl.ahbl.org 14,83 0,45 0,04 
sbl.spamhaus.org 29,15 0,25 0,03 
dnsbl.njabl.org 12,59 0,53 0,05 
BL 7,84 9,86 0,62 
pbl.spamhaus.org 0,58 0,17 0,01 
xbl.spamhaus.org 15,39 8,76 0,57 
dnswl.org (Whitelist) 0,003 0,007 0,002 
Bogus ranges 0,03 0,00 0,00 


dnsbl.ahbl.org sbl.spamhaus.org dnsbl.njabl.org CBL 
10,17 10,67 11,03 8,03 
1,97 0,58 2,93 64,14 
1,79 0,64 2,58 41,02 
= 0,56 64,32 3,74 
1,04 = 0,88 1,23 
50,31 0,37 = 4,75 
2,50 0,44 4,07 = 
0,72 0,03 0,93 1,19 
8,17 0,47 15,83 88,05 
0,003 0,002 0,005 0,001 
0,00 0,01 0,00 0,00 


pbl.spamhaus.org xbl.spamhaus.org dnswl.org Bogus ranges 


36,92 17,92 0,002 1,13 
69,96 64,19 0,026 0,01 
55,36 42,58 0,064 0,02 
66,38 13,87 0,002 0,22 
5,49 1,49 0,003 9,68 
67,11 21,03 0,003 0,28 
73,9 100,00 0,001 0,00 
= 1,36 0,000 1,48 
73,9 = 0,001 0,01 
0,002 0,002 = 0,027 
0,34 0,00 0,000 = 


Beim Kombinieren von Blacklists spielen die jeweiligen Schnittmengen für die Gesamtwirksamkeit eine große Rolle. 
Die Tabelle zeigt den prozentualen Anteil an IP-Adressen der Blacklist A (Zeile), den auch Blacklist B (Spalte) abdeckt. 


Die PBL umfasst alle von Providern als 
„Mailserver-frei“ gemeldeten Adres- 
sen, die in der Regel dynamisch an 
Einwahl- und DSL-Kunden vergeben 
werden, also nicht nur verifizierte 
Spamquellen. 

Es zeigt auch auf, welche Kombi- 
nationen von Blacklist-Abfragen sinn- 
voll sind. Zwei Blacklists mit geringen 
Überschneidungen zu vereinen, ist we- 
sentlich effektiver, als solche zu kombi- 
nieren, die eine hohe Anzahl von IP- 
Adressen übereinstimmend aufführen. 
So erscheint es wenig sinnvoll, Spam- 
haus’ XBL mit der CBL zu kombinie- 
ren, die in der XBL enthalten ist. Ande- 
rerseits lässt sich die NiX-Spam-Liste 
gut zusammen mit den Listen von 
SORBS einsetzen, da mehr als vier von 
fünf Einträgen der NiX-Spam-Liste 
nicht von SORBS gelistet sind. 

Abbildung 2 zeigt den gesamten 
Adressraum von IPv4. Die obere Hälfte 


der Grafik repräsentiert die NiX-Spam- 
Blacklist, der untere Teil stellt den Inhalt 
der PBL grafisch dar. Die Horizontale 
ist in 256 Adressblöcke mit jeweils 
16 777 216 (2°*) IP-Adressen unterteilt. 
In der CIDR-Schreibweise entspricht 
dies sogenannten /8-Netzen. Die Y-Ach- 
se gibt logarithmisch an, wie viele IP- 
Adressen in der jeweiligen Blacklist 
(oben NiX Spam, unten PBL) gelistet 
sind. Die Länge der senkrechten Linien 
verdeutlicht, dass es zwar hinsichtlich 
der Anzahl der Einträge Unterschiede 
gibt, dass jedoch kaum Adressblöcke nur 
in einer der beiden Listen vertreten sind. 


Black- versus Whitelists 


Whitelists eignen sich hervorragend zum 
Schutz vor falschen Einträgen in Black- 
lists. Bei auf Whitelists gelisteten IP- 
Adressen handelt es sich meistens um 


legitime E-Mail-Server. Von ihnen aus- 
gehende E-Mails sollen von Black- oder 
Greylisting unbehelligt bleiben. Da aber 
auch gewöhnliche Mailserver gelegent- 
lich zum Versenden von Spam miss- 
braucht werden, können durchaus man- 
che IP-Adressen sowohl auf Blacklists 
als auch auf Whitelists gelistet sein. 
Wie bereits erläutert, kann ein einzi- 
ger Anwender eines E-Mail-Systems den 
Ruf des gesamten Systems und somit all 
seiner Nutzer schädigen. Im schlimmsten 
Fall führt dies zur Eintragung des Ser- 
vers in Blacklists. Solche Systeme kann 
man durch Whitelisting schützen und da- 
durch das verbindungsorientierte Black- 
listing umgehen. Deshalb ist es sinnvoll, 
neben Blacklisting andere Filter einzu- 
setzen, darunter Inhaltsfilter, die eine 
Entscheidung pro individueller E-Mail 
treffen und auch beim Aussetzen von 
Blacklisting noch Spam filtern können. 
Die Vergleichsmatrix zeigt, dass sich die 
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Internet 


[LS Bezeichnung Einträge 
9121 TINET 234 145 
4134 Chinanet-Backbone 205 120 
27699 Telecom. de Sao Paulo 157 017 
7738 Telecom. da Bahia 1529159 
8167 Telecom. de Santa Catarina 148 816 
8151 Uninet S.A. de C.V. 135 22] 
4837 Chinal69-Backbone CNC Group 112 558 
9829 BSNL National Internet Backbone 106 412 
7643 Vietnam Posts and Telecom. 101 770 
3269 Telecom Italia 99 629 


Überschneidungen zwischen diversen 
Blacklists und der Whitelist dnswl.org 
mit Werten unterhalb des Promille- 
bereichs in Grenzen halten. 


Verbotene 
Zonen im Internet 


Ebenfalls interessant ist der Vergleich 
von Whitelists mit sogenannten Bo- 
gons, nicht zugewiesenen und damit ei- 
gentlich nicht aktiven Netzbereichen. 
Sie umfassen neben per Definition 
nicht benutzbaren oder reservierten 
Netzadressen auch von der IJANA noch 
nicht vergebene IP-Adressen. Externer 
IP-Verkehr aus diesen Bereichen kann 
also ohne Auswirkungen auf die Er- 
reichbarkeit komplett und schon am 
Router blockiert werden. Für Blacklists 
hat es somit keine negativen Auswir- 
kungen, falls sie Bogons umfassen. 
Gänzlich anders ist die Ausgangssitua- 
tion bei Whitelists: Für Bogons ist ei- 
ne Listung zum Umgehen von Black- 
listing kontraproduktiv. 

Beim Blick auf die Vergleichsmatrix 
fällt auf, dass die Whitelist dnswl.org 
eine gewisse Überschneidung mit den 
als Bogon deklarierten Netzadressen 
aufweist. Auf Anfrage hat der Betrei- 
ber der Whitelist diese Einträge inzwi- 
schen gelöscht. Es handelte sich wahr- 
scheinlich einfach um Tippfehler. Der 
Betreiber will zukünftige Einträge auf 


Land Einträge Anteil dort [%] 
China 1268571 0,977 
USA 476130 0,019 
Korea 448338 0,17 
Brasilien 441364 1,881 
Indien 194092 1,412 
Argentinien 186102 3,884 
Frankreich 131657 0,099 
Mexiko 118733 0,612 
Taiwan 113741 0,607 
Japan 96239 0,043 
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lokaler Anteil [%] LS Bezeichnung Einträge lokaler Anteil [%] 
2,393 4134 Chinanet-Backbone 708 818 1,03] 
0,298 4837 China169-Backbone CNC Group 285 048 1,344 
6,347 4166 Korea Telecom 193 308 0,782 
3,034 27699 Telecom. de Sao Paulo 164 522 6,650 
6,894 9318 Hanaro Telecom 161 925 1,849 
1,101 1322 ATET Internet Services 126 151 0,404 
0,531 7738 Telecom. da Bahia 112192 2,237 
1,527 22927 Telefonica de Argentina 102 464 13,192 
10,492 3462 HINET Data Comm. 84 589 1,094 
0,826 815] Uninet S.A. de C.V. 76 139 0,620 


Bogons prüfen, um neue derartige Fehl- 
einträge zu vermeiden. 

Fehlerhafte Listungen einer Whitelist 
wie dieser können fatale Folgen haben. 
Schafft es ein Spammer, von einer IP- 
Adresse auf der Whitelist aus E-Mails zu 
versenden, verzichten je nach Bekannt- 
heits- und Nutzungsgrad der Whitelist 
viele Eingangs-Mailserver auf ein Black- 
listing. Das kann zur starken Mehrbelas- 
tung nicht nur des Servers, sondern auch 
der Empfänger führen, zu denen dann 
mehr Spam durchdringt. 


Vergleich mit 
Routing-Informationen 


Das Analysieren von Blacklists erlaubt 
auf bequeme Weise eine Zuordnung von 
unangenehm auffallenden IP-Adressen 
zu Ursprungsländern oder autonomen 
Systemen (AS). So lassen sich Statisti- 
ken über die Provider und Länder mit 
den meisten Spam-Quellen erstellen, oh- 
ne auch nur eine einzige Spam-Mail 
selbst empfangen zu müssen. Hier 
dienten die Blacklists CBL und dnsbl. 
njabl.org diesem Zweck. Die CBL ent- 
hielt zum Zeitpunkt der Analyse etwa 
5,2 Millionen, dnsbl.njabl.org umfasste 
rund 4,5 Millionen IP-Adressen. 

Ein autonomes System ist eine Ein- 
heit mit gemeinsamen Routing-Informa- 
tionen — etwas vereinfachend, aber meist 
korrekt mit „Internetprovider“ beschrie- 


Land Einträge Anteil dort [%] 
Brasilien 563159 2,400 
China 424435 0,327 
USA 359369 0,014 
Türkei 235375 2,867 
Russland 223684 1,391 
Indien 219334 1,596 
Deutschland 196971 0,283 
Korea 196485 0,339 
Mexiko 152294 0,785 
Polen 142674 1,169 


ben. Die zehn am häufigsten von Black- 
listings getroffenen AS sind aufgeführt. 
Es fällt zum Beispiel auf, dass sich das 
chinesische AS 4134 auf beiden Black- 
lists weit oben befindet. Bei den meis- 
ten handelt es sich um asiatische oder 
amerikanische AS, aber auch die euro- 
päische Telecom Italia ist in der Listung 
der CBL zu finden. Die Spalte rechts 
gibt an, welchen Anteil des jeweiligen 
AS die Blacklist enthält. So ragen bei- 
spielsweise das AS 7643 auf der CBL 
mit 10,5 % und das AS 22927 auf 
dnsbl.njabl.org mit 13,2 % des gesam- 
ten für das AS verfügbaren Netzbe- 
reichs hervor. 

Eine etwas abstraktere Sicht ermög- 
licht die Zuordnung von IP-Adressen 
zum Herkunftsland. So kann man teil- 
weise die regionale Ausrichtung einer 
Blacklist erkennen und schwarze Schafe 
unter den Ländern ausmachen. Negativ 
fallen in beiden Blacklists die Länder 
China, Brasilien und die Vereinigten 
Staaten auf. Aber auch europäische Län- 
der gibt es innerhalb der „Worst 10“: 
Deutschland und Polen sind — wenig 
schmeichelhaft - oft in der CBL vertre- 
ten, Frankreich hat viele Einträge in 
dnsbl.njabl.org. Darüber hinaus fällt in 
der NJABL-Liste der hohe Anteil 


(3,9 %) an gelisteten IP-Adressen im 
Verhältnis zu Argentiniens gesamtem 
verfügbaren Adressraum auf. Das als er- 
giebige Spam-Quelle bekannte China ist 
in absoluten Zahlen tatsächlich jeweils 


Eine grafische Gegenüberstellung 
der PBL (unten) mit NiX Spam macht 
deutlich, dass Spammer oft ähnliche 
Adressblöcke zum Versenden der 
Nachrichten verwenden (Abb. 2). 
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recht weit oben angesiedelt. Im Ver- 
gleich zu anderen Ländern sind dort je- 
doch relativ kleine Teile des verfügbaren 
Adressraums gelistet. 


Globale IP- 


Reputationsdatenbank 


Angesichts der zum Teil stark vonein- 
ander abweichenden Inhalte diverser 
Blacklists stellt sich die Frage, welcher 
Anteil des insgesamt im Internet ge- 
nutzten IPv4-Adressraums sich durch 
die Vereinigung aller Blacklists über- 
haupt abdecken ließe. Es stellt sich 
heraus, dass die genannten Black- und 
Whitelists zusammen gerade einmal zu 
20 Prozent aller nutzbaren rund 2 Mrd. 
IP-Adressen überhaupt eine Aussage 
treffen. Der theoretische IPv4-Adress- 
raum beläuft sich sogar auf rund 4,2 
Mrd. IP-Adressen, die also von Black- 
und Whitelists heutzutage nur zu etwa 
10 % abgedeckt sind. 

Umgekehrt zeigt dies leider, dass 
Spammer durch die Nutzung von „fri- 
schen“, ungelisteten IP-Adressen in 
mindestens 80 % aller Fälle nicht von 
einer Blacklist gesperrt werden kön- 
nen. Es verdeutlicht aber auch das ho- 
he Potenzial künftiger IP-Reputations- 
systeme. (un) 
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Unix-Desktop 


Ein erster Blick auf KDE 4 


Speiender 


Drache 


Markus Franz 


Im ständigen Wettstreit um die bessere grafische 
Arbeitsumgebung haben die KDE-Entwickler eine neue 
Runde eingeläutet. Für die Version 4.0 poliert 
sie nicht nur die Optik, sondern schraubt 
auch kräftig unter der Haube. Ein Blick 


auf den neuen Desktop und die Technik im Hintergrund. 


ach vielen Monaten emsiger Pro- 
N grammierarbeit steht die Version 

4.0 in den Startlöchern: Am 20. 
November gaben die KDE-Entwickler 
den Release Candidate 1 ihrer Desktop- 
Umgebung frei. Für die Version 4.0 
krempelte die Community die grafische 
Umgebung für Unix- und Linux-Rech- 
ner kräftig um. KDE erfreut sich nach 
wie vor großer Beliebtheit, alle wichti- 
gen Distributionen liefern es standard- 
mäßig mit aus oder bieten das Nachrüs- 
ten an. Obwohl es in den letzten zwei 
Jahren Marktanteile gegen Gnome ver- 
loren hat (vor allem durch Ubuntu), läuft 
auf vielen Unternehmens-Desktops noch 
immer ein gepflegtes KDE. 

Mit der neuen Release wollten die 
Entwickler viele angestaubte Bibliothe- 
ken komplett neu schreiben und tech- 
nisch zu Mac OS X und Windows Vista 
aufschließen. Eine Liste der Neuigkeiten 
findet sich auf der Homepage des Pro- 
jekts (siehe „Onlinequellen“ [a]). Na- 
türlich spiegelt sich in einigen Punkten 
auch die Konkurrenz zum Gnome-Pro- 
jekt wider. Es fällt bei KDE 4.0 sofort 
auf, dass die Änderungen nicht nur an 
der Oberfläche, sondern auch unter der 
Haube erfolgt sind: Es gibt eine ganze 
Reihe neuer Frameworks. Zum einen 
soll es damit einfacher sein, neue Pro- 
gramme für KDE zu schreiben oder 
existierende anzupassen. Zum anderen 
sollen sie KDE gleichzeitig beschleuni- 
gen und benutzerfreundlicher machen. 

Dabei sind die im Folgenden aus- 
führlicher behandelten neuen Frame- 
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works keine Konkurrenz zu existieren- 
den Tools: Wie der Kasten „Neue Kom- 
ponenten in KDE 4.0“ zeigt, ziehen sie 
sozusagen nur eine weitere Abstrak- 
tionsschicht zwischen den alten Tools 
und Frameworks sowie der Benutzer- 
oberfläche mit Programmen und Ein- 
stellungsmanagern ein. 


Oberfläche mit Plasma 


Beim ersten Start von KDE 4.0 fällt 
dem Benutzer sofort die überarbeitete 
Oberfläche auf. Sie wirkt klarer und 
strukturierter als das bisherige Pendant. 
Mit Plasma [b] haben die KDE-Ent- 
wickler einen Ersatz für KDesktop, Ki- 
cker und andere Kernkomponenten der 
Oberfläche entworfen. Plasma stellt zum 
ersten Mal eine integrierte KDE-API für 
Entwickler bereit, um vom kleinen Ap- 
plet/Widget zur großen Anwendung 
schnell Ergebnisse zu erzielen. Mit dem 
Scripting-Framework Kross lassen sich 


A-TRACT 


e Mit Plasma, Solid, Phonon 
und Decibel führt KDE 4.0 neue 
Frameworks ein. 


© Für die Suche setzt der 
Open-Source-Desktop Strigi mit 
semantischen Funktionen ein. 


@ Neben Linux läuft KDE 4.0 auch 
unter BSD, Mac OS X und Solaris. 


& Co. KG. Veröffentlichung und Vervielfältigung nur 


Widgets in Sprachen wie Python, Java- 
script, Ruby und anderen schreiben — 
selbst Widgets für Apple Dashboard 
kann man im neuen KDE verwenden, 
wenn auch noch mit häufigen Abstür- 
zen. Es gibt sogar Pläne, Opera-Widgets 
ebenfalls zu unterstützen. Damit könnte 
sich KDE zur universellen Widget- 
Plattform entwickeln — vorausgesetzt 
die Entwickler bessern bis zur finalen 
Release bei der Stabilität erheblich nach. 

Die „Plasmoids“ genannten Program- 
me bezeichnen sowohl externe Widgets 
als auch interne KDE-Tools wie den 
CPU-Monitor. Die Grundlage eines 
Plasmoids bildet eine Komponenten- 
architektur, die aus drei Teilen besteht: 
DataSource: Hierunter versteht man eine 
einheitliche Schnittstelle der Anwendun- 
gen zu irgendwelchen externen Daten 
(auch Systeminformationen wie CPU- 
Auslastung oder Speicherbelegung). 
DataEngine: Dieser Teil bezeichnet die 
Anwendungslogik eines KDE-4.0-Plas- 
moids. Er bereitet die mit der Data- 
Source angezapften Informationen für 
die Visualisierung auf. 

Visualisierung: KTrader erledigt das 
Laden und Anzeigen aller Plasmoids. 

Diese Trennung der verschiedenen 
Schichten eines Plasmoids ermöglicht es 
sozusagen, das Model-View-Controller- 
Schema für Widgets beziehungsweise 
Desktop-Applets zu verwenden. 

Fans der „alten“, für Superkaramba in 
KDE 3.5 geschriebenen Widgets, kom- 
men ebenfalls auf ihre Kosten: Zur Si- 
cherung der Rückwärtskompatibilität 
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integrierten die Entwickler Superkaram- 
ba als eine Teilbibliothek in Plasma, so- 
dass alte Widgets ohne Probleme laufen 
sollten. Dies wollte in der Praxis jedoch 
nicht gelingen. Man darf gespannt sein, 
welche Änderungen die Final-Release an 
bestehenden Applikationen erfordert, da- 
mit alles wie versprochen funktioniert. 
Ein Vorteil des Gnome-Projekts war 
es bisher, dass es viele Elemente der 
Oberfläche konsequent nach Richtlinien 
zur Barrierefreiheit entwickelt hat. Hier 
schließt neben einigen Anpassungen an 
Plasma das Oxygen-Projekt [c] auf: Es 
definiert ein neues Icon-Thema für KDE 
4.0, das den Standards von FreeDesk- 
top.org folgt. Damit garantiert es nicht 
nur Barrierefreiheit, sondern auch ein 
einheitliches Aussehen der K-Anwen- 
dungen über alle Grenzen hinweg. 


Neuer Dateiverwalter 


Bisher war der Konqueror sowohl fürs 
Dateimanagement als auch fürs Surfen 
im Web zuständig. Die erste Aufgabe 
übernimmt jetzt standardmäßig Dol- 
phin (auch wenn Konqueror weiterhin 
Dateien verwalten kann). Mit dieser 
Neuentwicklung gab das KDE-Team 
der jahrelangen Kritik nach, dass durch 
die beiden Einsatzbereiche der Kon- 
queror nur noch schwer zu bedienen sei 
und einfache Dateioperationen unnötig 
viel Aufwand erforderten. Tatsächlich 
geht per Dolphin die Arbeit mit Da- 
teien schneller von der Hand. 
Konqueror wurde zu einem reinen 
Webbrowser degradiert. Seine Oberflä- 
che wirkt wesentlich klarer und die Me- 
nüs übersichtlicher. Durch die Radikal- 
kur rendert er durchweg alle Websites 
nun schneller als zuvor — auch dank der 
neuen Rendering-Engine Webkit (früher: 
KHTML). Ins Auge springt der neue 
Download-Manager, der sich nun end- 
lich direkt in die Symbolleiste integriert. 
Im Umgang mit Dateien hilft nun 
anstelle von KPDF der Betrachter Oku- 
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Fast alles neu: Die 
KDE-Entwickler 
überarbeiteten nicht 
nur das Look & Feel, 
sondern auch die 
darunterliegenden 
Abstraktionsschichten 
gründlich (Abb. 1). 


lar, der mit beinahe 
jedem Medientyp zu- 
rechtkommt. Er be- 
herrscht sogar Win- 
dows-Hilfedateien in den Formaten 
CHM (Compiled HTML Help) und 
XPS (XML Paper Specification). An- 
wender können jetzt Anmerkungen zu 
Dokumenten dauerhaft speichern — be- 
sonders praktisch bei PDF-Dateien. 
Der Bildbetrachter Gwenview erfuhr 
nur marginale Veränderungen: Die Me- 
nüs sind entschlackt und der Benutzer 
kann Bilder nun beschneiden. 

Um die Änderungen rund um den 
Umgang mit Dateien abzuschließen, 
noch ein Satz zum Editor Kate: Er ist 
nun Grundlage für die Editorkomponen- 
ten von Konqueror, KEdit und weiteren 
Applikationen. Das neue Plug-in-System 
und die verbesserte Suchfunktion kom- 
men so vielen Anwendungen zugute. 

Jeder KDE-Anwender hat sicher die 
eine oder andere unangenehme Begeg- 
nung mit dem HAL-Daemon gehabt. 
Er war für das Einbinden von Geräten 
und Treibern zuständig. Gleichzeitig 
gab es mit dem KNetworkmanager ein 
Tool speziell für (WLAN-)Netze, das 
manchmal ebenfalls ein instabiles Ei- 
genleben entwickelte. 


Solid begreift Geräte 


In KDE 4.0 erweitert das Solid-Frame- 
work [d] diese beiden Komponenten: 
Es stellt eine zentrale API für alle Ge- 
räte und Dateisysteme bereit. Als Basis 
dient weiterhin HAL, der also nicht 
verschwindet — aber für Anwendungs- 
entwickler und Benutzer komplett in 
den Hintergrund tritt. 

Solid entwarfen die Entwickler vor 
allem dazu, die Unterstützung für im 
laufenden Betrieb hinzugefügte oder 
entfernte Geräte zu verbessern. Intern 
ist die API in viele themenspezifische 
Domains unterteilt, die sich um ein be- 
stimmtes Thema intensiv kümmern: 
Ein Bereich kümmert sich um Netze 
und abstrahiert den Zugriff auf den 
Networkmanager, sodass jede KDE- 
Anwendung hiermit interagieren kann. 


Das stabilisiert in KDE die Verwaltung 
von kabellosen Netzen und VPNs - die 
Konfiguration sieht in der Oberfläche 
aber weitgehend identisch aus. Sogar 
KPPP gibt es noch in KDE 4.0. 

Eine weitere Domain von Solid be- 
handelt das Power Management: So 
kann der Nutzer (oder eigene KDE-An- 
wendungen) hier an vielen Optionen 
drehen — und im Hintergrund läuft wie- 
der HAL. Freunde dürfte der neue 
Bluetooth-Stack in Solid finden, der 
endlich diese Funktion im KDE-Kern 
nachrüstet: Das Suchen und Verbinden 
zu Geräten funktionierte im Test schon 
problemlos. Bei Dateiübertragungen tra- 
ten aber noch Abstürze auf. 

Zu guter Letzt sollte man sich das 
Kommandozeilenprogramm solidshell 
ansehen. Über den Befehl solidshell net- 
work set wireless diabled lässt sich das 
WLAN schnell deaktivieren. Mit diesem 
Tool hat man ein mächtiges Werkzeug 
an der Hand, das richtig Spaß macht. 


Multimedia bündeln 


Die Wiedergabe von Multimedia hat 
schon manchem Linux-Anwender den 
Schweiß auf die Stirn getrieben: Es fehlt 
ein Codec hier, dort irgendein Plug-in. 
Damit will - ähnlich der Intention von 
Plasma und Solid — ein neues Frame- 
work aufräumen: Phonon [e]. Es befreit 
KDE von GStreamer und Xine und er- 
setzt den altgedienten Soundserver aRts. 
Die Grundidee hinter Phonon ist es, die 
gemeinsamen Funktionen aller Medien- 
abspieler — Wiedergabe von Dateien, 
Start, Pause, Stop - in einem Framework 
zu bündeln. Die zentralen Einstellungen 
dazu nimmt der Anwender im sogenann- 
ten „Phonon Settings Manager“ vor. 

Angelehnt an die Domains bei Solid 
unterteilt sich Phonon in sogenannte En- 
gines, die beispielsweise für Play, Pause 
und Suche zuständig sind. Im Zu- 
sammenspiel mit Solid bietet Phonon in 
KDE 4.0 eine bessere Unterstützung 
von Headsets und anderen Audiogeräten 
- im Test zeigte sich tatsächlich auf 
Notebooks eine bessere Steuerung und 
Stabilität. Insbesondere das integrierte 
Mikrofon eines Vaio-Notebooks wird 
nun nicht nur durch Linux mit dem pas- 
senden Treiber versorgt, sondern lässt 
sich auch endlich verwenden. 

Ähnlich wie Solid basiert das Pho- 
non-Framework selbst auf den „alten“ 
Tools wie GStreamer und dem Sound- 
server. Der Vorteil liegt aber darin, dass 
die Entwickler bei API-Änderungen an 
diesen Low-Level-Frameworks nicht alle 
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KDE-Programme, sondern lediglich Pho- 
non anpassen müssen. Phonon kann laut 
Dokumentation sogar während des Be- 
triebes das Basis-Framework (beispiels- 
weise von GStreamer zu Xine) wech- 
seln — ohne Unterbrechung im Betrieb. 


Es spricht Decibel 


Zu den zahlreichen neuen Frameworks 
gesellt sich noch Decibel [f] dazu. An- 
ders als bei den Brüdern und Schwes- 
tern für Desktop, Geräte und Multime- 
dia handelt es sich nicht um einen 
erweiterten Aufsatz für bestehende 
Dienste. Vielmehr ist es eine vollkom- 
men neue Basisarchitektur für jegliche 
Kommunikation: Es bietet eine API mit 
Schnittstellen für Protokolle jeder Art. 
In der Theorie bedeutet dies vor allem, 
dass man in KDE ab sofort ein zentra- 
les Adressbuch hat. Möchte man nun 
beispielsweise mit einer Person telefo- 
nisch in Kontakt treten, startet die pas- 
sende Anwendung - egal ob Skype, In- 
stant Messenger oder der VoIP-Client. 

In der Praxis merkt man von dieser ei- 
gentlich genialen Idee noch nichts: Nicht 
einmal Kopete oder KMail, die Stan- 
dardclients für Messaging und Mail, 
greifen auf das neue Framework zu. Die 
Entwickler haben angekündigt, dass dies 
auch im finalen KDE 4.0 noch nicht oder 
nur teilweise der Fall sein wird — erst mit 


Neue Komponenten 
in KDE 4.0 


Decibel gemeinsames Adressbuch aller 
K-Anwendungen und einheitliches 
Kommunikations-Interface 

Dolphin Dateimanager, Ersatz für Konqueror 

Oxygen benutzerfreundliche, einheitliche 
Icons in allen K-Anwendungen 

Phonon Multimedia-Framework für Audio, 
Video und zugehörige Endgeräte 

Plasma neue Oberfläche für KDE und neue 
Bibliotheken 

Solid Framework-API zum einheitlichen 
Zugriff auf Geräte 

Strigi _ Desktop-Suche mit semantischen 
Funktionen 

Plasma | | Phonon | Solid Decibel 
Dolphin I KMail \ 
Oxygen Kopete 
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KDE 4.1 sollen die K-Anwendungen 
vollständig an Decibel andocken. 


Mit Strigi schneller suchen 


Für die KDE-3-Familie diente Beagle 
mit einem KDE-Frontend als Suchwerk- 
zeug. Ab KDE 4.0 übernimmt Strigi 
diese Aufgabe. Das Projekt ist zwar 
noch recht jung, aber integriert sich her- 
vorragend in die KDE-Bibliotheken. 
Außerdem ist Strigi bedeutend schneller 
als Beagle: Bei Tests auf einer mit rund 
950 MByte Dateien verschiedenster 
Typen gefüllten externen Festplatte war 
Strigi etwa 40 % schneller als der Indi- 
zierungsvorgang mit Beagle. Das liegt 
zum einen daran, dass Strigi von Beginn 
an auf Geschwindigkeit optimiert wur- 
de. Zum anderen verwendet es — im 
Gegensatz zu Beagle - ein komplett ei- 
genes System, genannt Jstream, zur 
Tiefenindizierung des Dateisystems. 
Neben der üblichen Unterstützung gän- 
giger Formate (Open Document, PDF, 
MP3, Plain Text et cetera) versteht sich 
Strigi auch mit Debian- und RPM-Pake- 
ten. Mithilfe eines SHA-1-Hash findet 
es zuverlässig Duplikate im Suchindex. 

Zusammen mit dem Informations- 
Framework Nepomuk bildet Strigi die 
Grundlage des „semantischen KDE- 
Desktop“. Dieser soll alle Programme 
und Dateien über eine einheitliche, in- 
tegrierte Suchplattform zur Verfügung 
stellen. Bis auf eine normale Desktop- 
suche merkt man in der aktuellen Vor- 
abversion aber von diesem engagierten 
Konzept nichts. Geplant ist, dass in 
kommenden Versionen Nepomuk eine 
Basis für Ontologien und beliebige 
Metadaten bildet. 


Eine Frage der Plattform 


KDE 4.0 fühlt sich unter Linux auf den 
ersten Klick schneller an als der Vorgän- 
ger. Das liegt nicht nur an den komplett 
neuen, effizienter gestalteten Bibliothe- 
ken, sondern vor allem an Qt 4.0 - dem 


zentralen Framework, auf dem KDE tra- 
ditionell basiert. Die 3er-Versionen von 
KDE nutzen die Ot-Features nicht so 
effizient aus wie die neue Hauptversion 
4.0. Wem Geschwindigkeit weniger 
wichtig ist, der kann KDE 4 auch auf 
*BSD, Solaris oder Mac OS X verwen- 
den. Für Mac OS X 10.4 und 10.5 gibt 
es im Web eine Kurzanleitung [g]. Dort 
findet man ein wöchentlich aktualisiertes 
DMG-Paket, das alles beinhaltet, was 
Anwender für KDE auf dem Mac benö- 
tigen. Die Performance dürfte aber deut- 
lich schlechter sein als unter Linux. 
Abschließend sei noch auf die KDE 
Development Platform hingewiesen. 
Hierin bündeln die Entwickler des 
KDE-Teams die wichtigen Bibliothe- 
ken, um eigene Applikationen zu ent- 
wickeln. Dazu gehören APIs für PIM- 
Anwendungen, VO-Operationen, die 
Kern-APls von KDE und der Notifica- 
tion Daemon, um mit KDE und ande- 
ren K-Programmen zu kommunizieren. 


Fazit 


Schon der aktuelle Release Candidate 
von KDE 4.0 lässt Freude aufkommen: 
Es macht richtig Spaß, auf diesem Desk- 
top zu arbeiten. Die neue Version zeich- 
net sich aber weniger durch die Anpas- 
sung der Oberfläche als vielmehr durch 
die neuen APIs aus: Sie machen KDE 
schneller, stabiler und effizienter für Ent- 
wickler. An der einen oder anderen Fens- 
terkante sollte das KDE-Team noch ein- 
mal putzen. Dann kann KDE aber in der 
finalen Version (die laut Roadmap schon 
mit Erscheinen dieser Ausgabe freigege- 
ben sein soll) mit Mac OS X, Windows 
Vista und Gnome auf Augenhöhe um die 
Gunst des Nutzers buhlen — nicht nur 
optisch, sondern auch technisch. (avr) 
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a] KDE 4.0 

b] Plasma plasma.kde.org 

c] Oxygen www.oxygen-icons.org 
d] Solid solid.kde.org 

e] Phonon phonon.kde.org 

fl Decibel decibel.kde.org 

g] KDE auf Mac OS X 
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Mobile Computing 


Apples iPhone groß. Fast könnte 

man glauben, es sei die Quadratur 
des Kreises gelungen. Schon der erste 
Blick auf das Gerät enthüllt den we- 
sentlichen Unterschied zur Konkur- 
renz: Es ist nur eine einzige Taste zu 
sehen. Apple vertraut bei der Bedie- 
nung seines Handys ganz auf den gro- 
ßen Touchscreen (320 x 480 Pixel). 
Anders als Palm OS- und Windows- 
Mobile-Modelle ist er ausschließlich 
mit dem Finger bedienbar, auf Stifte 
oder anderes lebloses Zeigegerät rea- 
giert er nicht. Folglich sieht der Bild- 
schirm schon nach kurzem Benutzen 
aus, als sei dem Anwender das Butter- 
messer ausgerutscht. 

Nimmt man die Werbung für das 
Gerät als Anhaltspunkt, sieht Apple 
das iPhone vor allem als Lifestyle-At- 
tribut. Im Folgenden soll jedoch in- 
teressieren, ob es sich auch für den 
geschäftlichen Einsatz eignet. Die An- 
forderungen definieren einerseits Kon- 
kurrenten wie Blackberrys Curve und 
Nokias E6li. Andererseits gibt es für 
reisende Geschäftsleute Unverzicht- 
bares: E-Mail gehört ebenso dazu wie 
der Zugriff aufs Web und auf Unter- 
nehmensdaten. Microsofts Office-For- 
mate sollten zumindest zu betrachten 
sein; für lokales Bearbeiten gäbe es 
Bonuspunkte. 

Die üblichen PIM-Anwendungen 
(Personal Information Management) 
bringt das iPhone mit - allerdings 


5 eit Monaten ist die Aufregung um 
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Apples iPhone als Geschäftstelefon 


Kleine 


Erleuchtung 


Christian Kirsch 


fehlt die Aufgabenverwaltung. Ter- 
minplaner, sowie Adressverwaltung 
sind vorhanden und synchronisieren 
ihre Daten via USB-Kabel und iTunes 
mit den Anwendungen auf dem Desk- 
top. Auf einem Mac sind dies das von 
Apple gelieferte Adressbuch und iCal, 
unter Windows kann man Adressen 
mit Outlook (Express) und Yahoo ab- 
gleichen. Für Termine steht dort nur 
das Synchronisieren mit Outlook zur 
Verfügung. In iTunes sind die zu syn- 
chronisierenden Kalender und Kon- 
taktgruppen einstellbar. Das mitgelie- 
ferte Google Maps und der Mailclient 
greifen auf die lokal gespeicherten 
Adressen zu. Dazu reicht es, einen 
Teil der Mailadresse oder des Namens 
einzutippen, das Telefon vervollständigt 
wie üblich die Daten geeignet oder zeigt 
die Kontaktliste zur Auswahl an. 


Länderliste 
mit lästigen Lücken 


In typischer Apple-Tradition nimmt das 
iPhone seiner Besitzerin möglichst viel 


Apple peilt mit seinem iPhone bislang vor allem Privatkunden an. 
Viele von ihnen dürfte jedoch der Preis abschrecken. In Unternehmen 
wiederum steht der Funktionsumfang im Vordergrund. Lässt sich der 

Flachmann auch dort verwenden? 


lästige Arbeit ab. So muss man das 
Heimatland bei den Kontaktdaten nicht 
eintippen, sondern wählt es aus einer 
Liste aus, bei der Deutschland voreinge- 
stellt ist. Dadurch erhält Google Maps 
immer eine vollständige Anschrift als 
Eingabe. Es sei denn, der Kontakt wohnt 
in Thailand, Malaysia oder Laos, denn 
Südostasien besteht auf dem iPhone nur 
aus Indonesien und Singapur. In Europa 
fehlen unter anderem Estland, Lettland, 
Litauen; Lateinamerika schnurrt auf Ar- 
gentinien, Brasilien und Mexiko zu- 
sammen und Afrika auf Ägypten so- 
wie Südafrika. Warum wohl dürfen 
iPhone-Nutzer keine Geschäftskontakte 
in Chile, Marokko oder Ecuador haben 
— zählen sie zu den Bush’schen Schur- 
kenstaaten? Die Auslassungen wären 
nicht weiter dramatisch, könnte man 
ein fehlendes Land manuell ergänzen. 
Das jedoch geht nicht. Schlimmer: Ei- 
ne Adresse in Bangkok verlegt das 
Gerät in der „Bearbeiten“-Sicht nach 
Deutschland, und Google Maps findet 
sie nicht. 

Termine lassen sich zwar mit einer 
Notiz versehen, nicht jedoch mit einer 


A-TRACT 


© Apples iPhone verwendet nur eine mechanische Taste. Alle anderen 
Bedienelemente stellt der berührungsempfindliche Bildschirm nach Bedarf bereit. 


© Webseiten und Karten lassen sich durch Gesten oder Doppelklick vergrößern 
und verkleinern. Eine virtuelle Tastatur blendet das Gerät wenn nötig ein. 


@ Bislang kann man auf dem Telefon keine Anwendungen installieren. Was über 
die mitgelieferten Programme hinausgeht, muss im Browser laufen. 
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Liste von Teilnehmern. Wer sie auf 
dem Desktop erstellt hat, muss damit 
zurechtkommen, dass sie auf dem 
iPhone nicht vorliegt: Ein kurzer An- 
ruf etwa durch Anklicken des Namens, 
um eine Verspätung anzukündigen, ist 
nur über die Kontaktliste und mithilfe 
des eigenen Gedächtnisses möglich. 
Teilnehmer an Treffen sind nicht das 
Einzige, was beim Datenabgleich zwi- 
schen Mac und iPhone abhanden- 
kommt. Ein aus dem Web geladenes 
und einem Kontakt zugeordnetes Bild 
übernahm das Telefon trotz mehrerer 
Versuche nicht. Der umgekehrte Weg, 
jemanden mit der Handy-Kamera zu 
fotografieren und seinen Kontaktdaten 
zuzuordnen, aktualisierte die Desktop- 
Daten zuverlässig. 


Weder Suche 
noch Filter für Mail 


Mail-Kunden von Google, .Mac, AOL 
und Yahoo finden Einstellungsdialoge 
vor, in die sie nur Namen, Mailadresse 
und Passwort eingeben müssen. Für 
Geschäftskunden dürfte das jedoch 


kaum relevant sein. Ihnen stehen frei 
konfigurierbare POP3-, IMAP- und 
Exchange-Konten zur Verfügung. Im 
Test funktionierte die IMAP/SSL-Ver- 
bindung ebenso anstandslos wie ein 
Exchange-Konto. Letzteres benutzte die 
freie z-Push-Software (z-push.source- 
forge.net), die IMAP-Server via Active- 
sync so ins Netz bringt, dass sie wie 
Exchange-Server wirken. Die Mail- 
Konfiguration beschränkte sich in allen 
Fällen auf die Angabe des Server- und 
Benutzernamens samt Passwort sowie 
der Mailadresse. Dass die IMAP-, 
SMTP- und Exchange-Zugänge durch 
SSL/TLS gesichert waren, merkte das 
iPhone selbstständig, sodass Benutzer 
weder Ports noch Verschlüsselungsver- 
fahren eintragen mussten. Dies ist nur 
bei vom Standard abweichenden Ein- 
stellungen nötig. 

Auf Wunsch ruft das iPhone Mails 
regelmäßig ab oder überlässt es seiner 
Eigentümerin, dies manuell zu erledi- 
gen. Filtermöglichkeiten sind jedoch 
nicht vorgesehen, sodass sie zwangs- 
weise auch unterwegs alles zu sehen 
bekommt, was auf dem Mailserver 
eintrudelt. Ebenso überwältigt sind 


IMAP-Anwender bei den Foldern: 
Weder lässt sich ihre Hierarchie auf- 
und zuklappen noch die Anzeige auf 
die abonnierten Ordner beschränken. 
Schwerer wiegt das Fehlen von Suche 
und Sortierung: Wer viele Nachrichten 
auf dem iPhone gespeichert hat, muss 
sie in Eingangsreihenfolge durchblät- 
tern, bis er die richtige findet. Word-, 
Excel- und PDF-Anhänge zeigt der 
Mailclient weitgehend korrekt an, mit 
Powerpoint und einfachen Textdateien 
kann er jedoch nichts anfangen. Da es 
auch für Office-Dokumente keine 
Funktionen zum Bearbeiten oder Su- 
chen gibt, sind größere Excel-Tabellen 
nicht zweckmäßig zu nutzen. Eine von 
Apples eigenem iCal-Kalender ver- 
schickte Einladung zu einem Termin 
kann der Mailclient übrigens weder 
öffnen noch lässt sie sich auf dem 
iPhone in den dortigen Terminkalen- 
der übernehmen. 

Dreh- und Angelpunkt für jede zu- 
sätzliche Applikation auf dem iPhone 
ist der mitgelieferte Browser, der auf 
dem aus dem KDE-Projekt stammen- 
den Webkit basiert. Bislang nämlich 
setzt Apple ganz auf das Web 2.0 und 
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Mobile Computing 


auf per Ajax aufgehübschte Weban- 
wendungen. Erst im Februar soll ein 
SDK herauskommen, das es ermög- 
licht, native Anwendungen für das 
iPhone zu erstellen. Der mitgelieferte 
Safari bietet alle wesentlichen Fähig- 
keiten des ausgewachsenen. Statt sei- 
ner Tabs verwendet die Miniversion 
virtuelle Seiten, zwischen denen der 
Anwender durch zwei Klicks wech- 
seln kann. Nicht mehr benötigte Sei- 
ten schließt er durch Antippen der ro- 
ten Markierung an ihrer linken oberen 
Ecke. 

Javascript und CSS bilden keine 
spürbaren Hürden für den Browser, 
SVG und Flash jedoch verarbeitet er 
nicht. Webseiten lassen sich auf dem 
Handy nicht speichern, man muss sie 
also erneut laden, wenn man sie 
wiederum benötigt. Dass ausgerechnet 
der Erfinder von Cut&Paste keinen 
Mechanismus bereitstellt, um Inhalte 
von Webseiten zu markieren, zu ko- 
pieren und anderswo einzufügen, ent- 
täuscht. So ist es in der Regel nicht 
möglich, eine Nummer aus einer 
HTML-Seite direkt zum Wählen zu 
verwenden. Das funktioniert nur, wenn 
sie als Link mit dem wenig gebräuch- 
lichen tel:-,Protokoll‘“ formatiert ist. 
Übrigens fehlen nicht nur Cut, Copy 
und Paste, sondern auch Undo. Des- 
halb lässt sich ein Fehler nicht einfach 
reparieren. 

Beim Tempo hängt der iPhone- 
Browser die Konkurrenz ab. Per 
WLAN dauerte das komplette Laden 
von www.heise.de/newsticker rund 
acht Sekunden, via Edge gut 20. Zum 
Vergleich: Nokias E6li benötigte mit 
WLAN etwa 26 Sekunden, mit UMTS 
noch 33. Ähnlich sah das Ergebnis bei 
Seiten aus, die aus vielen Komponen- 
ten bestehen. Offenbar kommt es also 
für das Tempo beim Browsen nicht 
nur auf die jeweilige Verbindung an — 
wichtig sind auch die Qualität des 
Browsers und die Leistungsfähigkeit 
der CPU. Damit verliert einer der 
Hauptkritikpunkte am iPhone an Be- 
deutung. Dass es bislang nicht per 
UMTS, sondern nur via EDGE funkt, 
hielten viele hierzulande für einen 
schwerwiegenden Nachteil. In der Pra- 
xis dürfte er nur beim Versenden oder 
Herunterladen großer Dateien ins Ge- 
wicht fallen. Da das iPhone eine sol- 
che Funktion jedoch ohnehin nicht 
bietet, sollte die langsamere Anbin- 
dung nicht stören. 

Unangenehm fällt auf, dass dem 
iPhone das Äquivalent zum „Schlüs- 
selbund“ des Mac-Desktop fehlt. Die- 
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se Anwendung speichert auf Wunsch 
Anmeldedaten, Zertifikate et cetera 
und erspart im Safari das Eintragen 
von Benutzernamen und Passwort zur 
Authentifizierung bei Websites. iPhone- 
Anwender müssen auf diesen Komfort 
verzichten. Als einziger lokaler Spei- 
cher für Daten steht ihnen die Notiz- 
Anwendung zur Verfügung, die jedoch 
alle Daten im Klartext speichert — des- 
halb ungeeignet als Passwort-Safe. 

Bislang bietet das iPhone keine 
VPN-Verbindung via IPSec. Zumin- 
dest mit PPTP und L2TP lässt sich je- 
doch eine verschlüsselte Verbindung in 
andere Netze herstellen. Beide Proto- 
kolle arbeiten mit Passwörtern oder 
RSA-Schlüsseln. Im Test funktionierte 
der PPTP-Client anstandslos. 

Neben WLAN und GPRS/EDGE 
steht als dritte Funktechnik Bluetooth 
zur Verfügung. Es dient jedoch aus- 
schließlich zum Anschließen von Head- 
sets und Freisprecheinrichtungen. Des- 
halb ebnet das Mobiltelefon weder 
einem Notebook den Weg ins Internet, 
noch kann man mal eben schnell Kon- 
taktdaten, Termine oder gar Dateien 
zwischen ihm und einem anderen Ge- 
rät austauschen. Apple zwingt damit 
die Anwender, jede Visitenkarte abzu- 
tippen — da war Palm OS vor Jahren 
schon weiter. 


Bekehrung der 
Ungläubigen 


Betrachtet man nur die vom iPhone 
angebotenen Funktionen, scheint der 
Einsatz für Geschäftszwecke zumin- 
dest eingeschränkt möglich: Es kommt 
mit mehreren Mailkonten zurecht, bie- 
tet eine Art VPN, der Browser zeigt 
die üblichen Webseiten korrekt an — 
das ist mehr, als man zum Beispiel 
von Blackberry-Geräten sagen kann. 
Dass man bislang weder eigene Doku- 
mente noch andere Software auf dem 
Gerät speichern kann, schränkt den 
Nutzen jedoch stark ein - nicht nur für 
den geschäftlichen Bereich. Profile, 
die auf üblichen Handys verschiedene 
Einstellungen gruppieren (etwa für lau- 
te und leise Umgebungen), fehlen dem 
iPhone. Dadurch muss man lästiger- 
weise jede einzelne Lärmquelle separat 
umschalten. 

Umgekehrt gilt jedoch: Andere Ge- 
räte bieten dasselbe wie das iPhone, 
teilweise sogar mehr, da sich fehlende 
Funktionen mit Programmen von Dritt- 
anbietern nachrüsten lassen. Trotzdem 
löst Apples Hardware bei vielen einen 


sofortigen starken „Haben-wollen“- 
Reflex aus. Das liegt weniger an der 
puristischen Form — ausschlaggebend 
ist die Bedienung, bei der sogar ge- 
standene Handy-Agnostikern zu Gläu- 
bigen werden. Hört man Erstnutzern 
zu, ist immer wieder „So hätte es 
schon immer sein müssen“ zu verneh- 
men. Wenn ein Mobiltelefon selbst ei- 
ne Botschaft versenden kann, dann das 
iPhone: „function follows form“. 


Aller Anfang 


ist leicht gemacht 


Form bedeutet in diesem Zusammen- 
hang in erster Linie „Bedienung“. 
Kollegen und Freunde, die das iPhone 
während des Tests in die Hand beka- 
men, fanden sich darauf ohne weitere 
Erklärungen zurecht. Darauf verlässt 
sich auch die mitgelieferte Dokumen- 
tation, die aus einem knappen Lepo- 
rello besteht: Sie erklärt nur die ersten 
Schritte mit dem Telefon, alle Details 
muss der Anwender durch Versuch 
und Irrtum herausfinden. Das funktio- 
niert in der Regel schnell und ohne 
Frustrationen. 

Webseiten und Straßenkarten ver- 
größert man durch Auseinanderziehen 
zweier Finger oder durch zweimaliges 
Antippen. Statt eines Rollbalkens be- 
wegt wiederum der Finger den sichtba- 
ren Bereich direkt. Virtuelle Schieber 
übernehmen das An- und Ausschalten 
von Funktionen. Ebenfalls virtuell ist 
die Tastatur, die immer erscheint, 
wenn der Benutzer ein Textfeld akti- 
viert. Sie bringt eine automatische 
Rechtschreibkorrektur mit, die jeweils 
das nächste (aus ihrer Sicht) passende 
Wort vorschlägt. Ein Druck auf die 
Leertaste akzeptiert es, Antippen des 
Vorschlags lehnt ihn ab. Das erfordert 
den ständigen Blick auf den eingetipp- 
ten Text, da das Wörterbuch gelegent- 
lich merkwürdige Korrekturen vor- 
schlägt. So mag es „SMS“ nicht und 
beharrt stattdessen auf „ANS“. Wer 
nach dem abschließenden „S“ ohne 
Kontrollblick die Leertaste betätigt, 
muss vier Zeichen einzeln löschen. So- 
gar mehrfaches Korrigieren des iPhone- 
Vorschlags hilft dagegen nicht: Es be- 
harrte im Test noch nach der 24. 
korrekten Eingabe von „SMS“ auf 
„ANS“, 

Trotz dieser Unzulänglichkeiten im 
Detail bleibt der Gesamteindruck vor- 
herrschend, dass Apple bei der Bedie- 
nung dieses Mobiltelefons die Konkur- 
renz meilenweit hinter sich gelassen 
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hat. Die Anwendungen sind weitge- 
hend sinnvoll integriert. So startet 
beim Antippen einer Anschrift im 
Kontakt Google Maps, das Berühren 
der Telefonnummer wählt sie und ein 
Klick auf die Mailadresse öffnet eine 
neue Nachricht. Beim Drehen des Ge- 
räts rotiert der Bildschirminhalt mit, 
sodass man leicht zwischen Hoch- und 
Queransicht wechseln kann - aller- 
dings nicht bei eingeblendeter Tasta- 
tur. Die grau/blau gehaltene Oberflä- 
che lässt alle Elemente gut erkennen; 
wichtige wie „Senden“ oder „Öffnen“ 
sind jeweils in einem leuchtenden 
Blau hervorgehoben. Per Finger lässt 
sich deutlich schneller navigieren als 
mit einem Joystick oder einer 4-We- 
ge-Wippe, vor allem auf einer Web- 
seite, wenn es ums Verschieben geht. 


Fazit 


Funktional kann das iPhone in weiten 
Bereichen mit anderen Smartphones 
etwa von Blackberry oder Nokia mit- 
halten. Seine Beschränkung auf EDGE 
spielt in der Praxis bislang keine Rol- 


le, da es zum einen hinreichend flott 
arbeitet und zum anderen den Versand 
beziehungsweise Empfang großer Da- 
teien, bei dem sich eine schnellere 
Verbindung auszahlen würde, ohnehin 
nicht gestattet. Überlegen zeigt es sich 
bei der Oberfläche, die ein wesentlich 
komfortableres und schnelleres Bedie- 
nen ermöglicht als die Konkurrenz. Im 
Detail gibt es jedoch einige Mängel: 
Webseiten und andere Dokumente las- 
sen sich nicht speichern, Mails und 
Kontakte nicht durchsuchen, eine Un- 


Hersteller Apple, www.apple.de 

Produkt iPhone 

Maße 115 x.61 x 11,6 (YB/H mm?) 

Gewicht 1359 

Speicher 8 GByte 

Display 320 x 480 Pixel 

Funk 6SM, EDGE; WLAN; Bluetooth nur 
für Headsets/Freisprecheinrichtungen 

‚Akkulaufzeit Standby 280 h, Sprechzeit 8 h 
(It. Hersteller) 

Preis ohne Vertrag 861 € 


do-Funktion fehlt ebenso wie Kopie- 
ren und Einfügen. Größtes Manko ist 
aber der von Apple über native An- 
wendungen verhängte Bann. Wird er 
aufgehoben, sodass Fremdhersteller 
Software für fehlende Funktionen lie- 
fern und Unternehmen ihre Anwen- 
dungen auf das Gerät bringen dürfen, 
könnte es seinen Platz im Geschäfts- 
umfeld erobern. (ck) 


& komfortable und intuitiv zu 
bedienende Oberfläche 


© Anwendungen gut integriert 
© trotz EDGE schneller Browser 


© Beschränkung auf mitgelieferte 
und Webanwendungen 


© keine Profile 
© kein Cut & Paste 
© kein Suchen in Mail und 


Kontakten möglich 
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Betriebssysteme 


ie neue Version kommt anders 
D als beispielsweise Microsofts Vis- 

ta nur in einer einzigen, quasi der 
„Ultimate“ -Variante und als Universal 
Binary, das auf allen PPC- und Intel- 
Macs funktioniert, die die Mindest- 
voraussetzungen erfüllen. Diese sind 
in Form von Intel-CPU oder G5/G4 
mit mindestens 867 MHz Taktung, 
512 MByte RAM und 9 GByte Platten- 
platz so gesetzt, dass Leopoard prinzi- 
piell auf allen Apple-Rechnern der letz- 
ten drei bis vier Jahre läuft (Pro-Modelle 
bis zu 6 Jahre zurück). Um richtig Spaß 
zu haben, sollte man diese Werte jedoch 
mindestens verdoppeln, zumal 10.5 vie- 
le Fähigkeiten aktueller Grafikkarten 
nutzt, die auf älteren Modellen fehlen 
oder nur träge funktionieren. 

Das Aktualisieren von der Vorver- 
sion läuft wie von Apple gewohnt zu- 
meist glatt — siehe Kasten „Upgrade- 
Pfad zum Leopard“. Eine Stolperfalle 
können systemnahe Software und „Ha- 
xies“ bilden, konkret Unsanitys Appli- 
cation Enhancer, der Upgrade-Installa- 
tionen zu Fall bringt. Kritisch ist die 
Verfügbarkeit von Treibern, die man im 
Vorfeld prüfen sollte (bezüglich Dru- 
ckern hilft eine Websuche nach „apple 
306684“ beim Finden des Support-Ar- 
tikels). Wie gehabt, kann man durch 
„Anpassen“ der Installation und Ver- 
zicht auf nicht benötigte Druckertreiber 
sowie Sprachen ein paar GByte auf der 
Platte sparen. 

Visuell beruhigt, dass die ausufern- 
de Vielfalt der Fensterstile der Vorver- 
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sion [1] auf nur noch eine etwas bie- 
der anmutende Version schrumpft. 
Zum Ausgleich erregen sich die Ge- 
müter vor allem wegen kaum mehr zu 
unterscheidender Ordner-Icons sowie 
verstärkter Transparenzeffekte in Me- 
nüs und Menüleiste. Zumindest bei 
Letzterem ist einfache Abhilfe mög- 
lich (siehe Kasten „Tiger-Look“). Das 
Dock kommt im neuen abschaltbaren 
gläsernen Look daher und beherbergt 
eine Novität, die Stacks (Stapel, sie- 
he Abb. 1). 

Zieht man Ordner ins Dock, erschei- 
nen sie dort als Stapel. Ein Klick dar- 
auf und die im Ordner enthaltenen Da- 
teien klappen inklusive Vorschau nach 
oben. Enthält er allerdings mehr als cir- 
ca ein Dutzend Elemente, kommt bei 
dieser Darstellung die Übersicht ab- 
handen. Weiterer Nachteil: Hierarchi- 
sche Ordner via Dock sind nicht mehr 
möglich (Abhilfe siehe Kasten „Tiger- 
Look“). 

Ebenfalls runderneuert präsentiert 
sich der Finder. Als vierte Darstel- 
lungsvariante beherrscht er die von 
iTunes bekannte Cover-Flow-Ansicht, 


Mac OSX 10.5 „Leopard" 


Neues Fel 


Thomas Kaiser 


Mit angeblich durch das iPhone verursachter sechs- 
monatiger Verspätung erschien Apples Mac OS X 10.5, 
Codename „Leopard”, fast genau zweieinhalb Jahre 
nach seinem Vorgänger. An der Oberfläche und unter 
der Haube hat sich einiges getan. 


die vor allem im Zusammenspiel mit 
Spotlight praktisch ist (Abb. 1). Ände- 
rungen an lokalen Dateisystemen er- 
scheinen blitzschnell in Finder-Fens- 
tern, und insgesamt wirkt er weniger 
träge. Die Seitenleiste hat Apple auf- 
gewertet, indem sie standardmäßig 
(und abschaltbar) typische Spotlight- 
Suchen einblendet. Gleichfalls tau- 
chen dort per Bonjour im Netz verfüg- 
bare Macs auf. Ein Klick auf einen 
davon genügt und man kann direkt 
Dateifreigaben nutzen oder den Bild- 
schirm ä la VNC übernehmen - pas- 
sende Zugangsdaten und die Aktivie- 
rung von beidem auf dem anderen 
Mac vorausgesetzt. 


Finder zeigt 
Vorschaubilder an 


Eine weitere Neuerung ist Quick 
Look („Übersicht“), das im Finder 
schnell, aber trotzdem qualitativ hoch- 
wertig den Inhalt von Dateien anzeigt, 
ohne die zugehörige Anwendung öffnen 
zu müssen. Proprietäre Dateitypen benö- 


zahlreiche Neuerungen im Unterbau. 


A-TRACT 


© Neben offensichtlichen Änderungen an der Oberfläche von Mac OS X 10.5 
(Leopard) wie den virtuellen Desktops und einer weiteren Ansicht im Finder gab es 


@ HFS+ nutzt wesentlich mehr Metadaten, Bonjour übernimmt das Annoncieren aller 
Dienste, und Spotlight kann via LAN suchen. 


© Das mitgelieferte Backup-Programm „Time Machine” sichert regelmäßig alle 
Anderungen auf externen Platten, patzt jedoch noch beim Zurückspielen. 
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tigen dafür ein passendes Plug-in vom 
Hersteller oder einem Drittanbieter 
(eine Liste entsteht gerade unter apfel- 
quak.de/ql-plugins). Für die verbreite- 
ten Dateitypen bringt Leopard passen- 
de Module mit. 

Nachdem Apple seit fast zweiein- 
halb Jahren Mehrtastenmäuse verkauft, 
folgt als weiterer Meilenstein „Spaces“: 
Ein Desktop-Manager ab Werk, der 
bis zu 16 virtuelle Bildschirme ver- 
waltet. Offensichtlich traut man den 
Anwendern inzwischen einiges zu. 
Das Umschalten zwischen einzelnen 
Bildschirmen erfolgt per Tastaturkür- 
zel oder automatisch beim Wechsel 
ins jeweilige Programm. Per Aufruf 
der Spaces-Anwendung kann man aus 
der Vogelperspektive Fenster zwischen 
verkleinerten Darstellungen der Desk- 
tops verschieben. Außerdem lassen 
sich Programme immer demselben 
Bildschirm zuweisen. 


iChat transportiert 
Bilder, Filme und PDFs 


Apples mit Fokus auf Heimnutzer ent- 
wickelte Anwendungen bringen in den 
10.5 beigelegten Versionen einige De- 
tailverbesserungen. Im professionellen 
Umfeld dürfte interessieren, dass sich 
iCal3 dank vollwertiger CalDAV- 
Unterstützung zur gruppentauglichen 
Kalenderanwendung entwickelt. An- 
gebunden an einen passenden Server 
(beispielsweise iCal Server oder sein 
Open-Source-Pendant Darwin Calen- 
dar Server) lassen sich damit in Teams 
Termine und Ressourcen planen. 


Dlstandul 


Apples Instant-Messaging-Programm 
iChat bekam neben allerlei multime- 
dialen Aufhübschungen die Möglich- 
keit mitgegeben, Präsentationen via 
iChat-Theater beim Gesprächspartner 
abzuspielen. In hoher Qualität kann es 
Bilder, Filme und PDFs zeigen - bezie- 
hungsweise jedes Dateiformat, für das 
es ein Quick-Look-Plug-in gibt. Glei- 
ches gilt für die Bildschirmausgabe von 
Cocoa-Programmen — Neuübersetzen 
für 10.5 mit der IMAVManager-Klasse 
und schon erledigt iChat die Ausgabe 
als Videostream. 

Wie im Finder kann man ab Leopard 
auch in iChat Bildschirmfreigaben so 
nutzen, dass Partner den eigenen Rech- 
ner fernsteuern dürfen und andersherum. 
Zum Einsatz kommt dabei die aus Ap- 
ple Remote Desktop (ARD) stammende 
VNC-Komponente, die wie bei ARD 
seit Version 3.2 deutlich flotter zu Wer- 
ke geht. Solange die Firewall nicht zu 
restriktiv konfiguriert ist, funktioniert 
das Ganze auch, wenn beide Gesprächs- 
partner hinter NAT-Routern sitzen. 


Leopards Finder 
bringt eine neue 
Seitenleiste und die 
von iTunes entlehnte 
Cover-Flow-Darstel- 
lung. Datei-Stapel 
wachsen aus dem 
vollverspiegelten 
Dock heraus 

(Abb. 1). 


Netzadministratoren sollten diese 
Art der unfreiwilligen LAN-Öffnung 
im Auge behalten, wie auch interne 
Nutzer von Apples kostenpflichtigem 
.Mac-Service. Ab 10.5 erlaubt es die 
„Back to my Mac“-Funktion .Mac- 
Kunden, mehrere Rechner zu durchsu- 
chen und komplett fernzusteuern. Ein 
reiner NAT-Router, der eingehende 
Verbindungen blockt, hilft dagegen 
nicht mehr. 

Mail.app in Version 3.1 kommt mit 
einem Bündel HTML-Vorlagen und 
versteht sich auf das Abonnieren von 
RSS-Feeds, die es in Postfächer ein- 
sortieren kann. Es erkennt in Grenzen 
selbstständig Adressen, Telefonnum- 
mern und Termine in Nachrichten, die 
es auch extrahiert und in die passen- 
de Anwendung überträgt. Außerdem 
erlaubt es das Verwalten sowie Bear- 
beiten von Notizen und Aufgaben. Sa- 
fari 3 bringt neben besseren Such- 
funktionen und der Möglichkeit, Teile 
von HTML-Seiten als Dashboard- 
Widgets zu speichern endlich die Fä- 


Upgrade-Pfad zum Leopard 


Hat man noch einen Mac mit OS X 10.2 
oder älter, lässt sich ein Upgrade nicht pro- 
blemlos durchführen. Stattdessen ist die 
Neuinstallation von Betriebsystem samt 
Anwendungen und manueller Transfer der 
Benutzerdaten ratsam. 


Ab Mac OS X 10.3 aufwärts sollte man als 
ersten Schritt einen aktuellen, vollständigen 
und idealerweise bootfähigen Klon der zu 
aktualisierenden Platte auf einer weiteren 
anlegen. Das geht beispielsweise per Super- 
Duper!, Carbon Copy Cloner in Version 3 
oder mit Apples Festplatten-Dienstpro- 
gramm im „Wiederherstellen“-Modus - für 
Letzteres siehe Apples Knowledge-Base- 
Artikel mit ID 306516 (Websuche nach „ap- 
ple 306516“). Auch sollte man die alte Sys- 
tem-Version mit allen verfügbaren Updates 
auf den aktuellen Stand bringen. 
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Ist die Integrität des Klons geprüft, kann 
sowohl eine Aktualisierung des Betriebsys- 
tems folgen (hierbei vorher unbedingt eine 
Dateisystem-Reparatur laufen lassen) als 
auch das komplette Neuinstallieren samt 
Migration von Benutzer-Accounts, Einstel- 
lungen und Daten per Migrationsassistent 
vom vorher erzeugten Klon. Beide Varian- 
ten eliminieren relativ zuverlässig unnöti- 
ge Altlasten und übernehmen ein Maxi- 
mum an Daten und Einstellungen, sodass 
meist keinerlei weitere Anpassung mehr 
nötig ist. 

Die Migrationsvariante schlägt sich ge- 
ringfügig besser und hat zugleich den 
Vorteil, dass sie durch Neu-Initialisierung 
des Dateisystems ein klassisches Problem 
von Systemaktualisierungen vermeidet: 
Die Vergrößerung eventuell vorhandener 


Inkonsistenzen des Dateisystems, ausge- 
löst durch die massive Aktivität während 
der Aktualisierung. Idealerweise lässt man 
den Migrationsassistenten direkt am Ende 
der Installation laufen, da er so alle Be- 
nutzer-Accounts mit korrekten UlDs mi- 
griert und keine Nachbearbeitung mehr 
nötig ist. 

Die Installationsvariante „Archivieren und 
Installieren“ ist nicht als Ersatz für einen 
vorher angelegten Klon zu verstehen, weil 
dies die alte und neue Systemversion auf 
einem Laufwerk mischt (für Details siehe 
Article-ID 107120 bei Apple). Das Fest- 
platten-Dienstprogramm wird idealer- 
weise vom Menü der Leopard-DVD ge- 
startet, da es dann Vollzugriff auf die 
betroffene Platte hat. 
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Betriebssysteme 


en ; 
rr 
Name: Dicke Barta 
Verfügbar: 33,1 CB von 372,508 
|  Atestes Backup: 22. Oktober 2007 
\ ! Letztes Backup: fehlgeschlagen @ 
HZ Nächstes Backup: Heute, 17:37 
. Volume wechwein Optionen 
Time Machine 
Aus EN | Ein 


® f 


Fair DAN Te VROEhER Systemeinstellung ‚Time Machine“ öffnen 


Bup- Volume. Backup jetzt erstellen 
Andere Time Machine-Volumes durchsun 
‚Aus dem Dock entfernen 


Desas Suchpiat 


Time Machine einblenden 


— Bas sn: 
Time Machine ist Leopards Backup- 
Programm, das automatisch 
regelmäßige Datensicherungen auf 
externen Festplatten erstellt (Abb. 2). 


higkeit, PDFs sinnvoll im Browser zu 
betrachten. 

Zu den nicht offensichtlichen Neue- 
rungen gehört, dass sich Mac OS X ab 
10.5 mit Konformität zur Single Unix 
Specification (SUSv3) und POSIX 
1003.1 schmücken darf. Der Darwin- 
Kernel ist nun bei Version 9.1.0 ange- 
kommen, stellt weiterhin eine Mach- 
BSD-Melange dar und weist neben 
verbessertem Scheduling, Multi-Core- 
Optimierung, dynamischem Paging 


Time Machine (TM), Apples Leopard beige- 
legte Backup-Anwendung für Einzelplätze, 
ist prinzipiell mit einem Klick konfiguriert. 
Sobald man eine dem System unbekannte 
Platte anschließt, fragt es automatisch, ob 
es sie für Sicherungen benutzen soll. An- 
schließend läuft das Backup unauffällig im 
Hintergrund —- inklusive Versionierung, 
Rotation der Sicherungen und Benach- 
richtigung nur bei Bedarf (siehe Abb. 2). 
Alte Sicherungen löscht TM nach einem 
Regelwerk bei zu wenig freiem Platz auf 
dem Medium automatisch. Die Installa- 
tions-DVD bringt ein Werkzeug mit, das 
das System aus einem beliebigen vorheri- 
gen TM-Backup wieder herstellen soll: 
Desaster Recovery inklusive. 


Unter der Haube bedient sich der backupd 
des FSEvents-Framework, das Änderungen 
seit der letzten Sicherung registriert. Es fin- 
det nur bei Bedarf eine — dann durchaus 
langwierige — Komplettsicherung statt. 
Sonst speichert TM lediglich die Änderun- 
gen seit dem letzten Lauf. Die Sicherungs- 
Sets sind auf den ersten Blick ganz norma- 
le und in sich vollständige Ordner. Apple 
arbeitet mit Hardlinks auch auf Verzeich- 
nisse, die alles aus vorherigen Sicherungen 
einbinden, was sich nicht geändert hat. 
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und dynamisch setzbaren Resource Li- 
mits zwei echte Neuigkeiten auf: Die 
von TrustedBSD inspirierte Imple- 
mentierung der „Mandatory Access 
Control“ — siehe sandbox(7) respektive 
/usr/share/sandbox/ — ist die eine, die 
Portierung von Solaris’ DTrace-Funk- 
tion in den Darwin-Kernel die andere. 


dtrace verfolgt 
Spuren im Programm 


Nicht nur Kernel-Hacker freuen sich, 
dass sie mit dtrace(I) und dtruss(1) je- 
derzeit an Prozesse und den Kernel an- 
docken und tiefe Einblicke in deren 
Aktionen gewinnen können. Ab XCode 
3.0 steht in Form von Instruments, Vor- 
mals als XRay bekannt, ein grafisches 
Frontend dafür zur Verfügung. Fans 
des ebenfalls von Sun stammenden 
ZFS (Zeta Filesystem), dürften hinge- 
gen enttäuscht sein. Es steht offiziell 
nur zum Lesen zur Verfügung und ist 
noch ein Stück davon entfernt, zum 
Standard- oder auch nur gleichberech- 
tigten Mac-Dateisystem aufzusteigen. 
10.5 wertet HFS+ an zwei Stellen 
auf: Einerseits durch die Implementie- 
rung von Verzeichnis-Hardlinks für 
Time Machine (zum Glück ohne In(/) 
dieselbe Fähigkeit zu spendieren) und 


Zeitmaschine 


Wen die Aussicht beunruhigt, zum Lesen 
und Schreiben eingehängte Platten zu si- 
chern, der kann sich aufgrund restriktiv ge- 
setzter ACLs für die Backup- Verzeichnisse 
ein wenig entspannen und außerdem Me- 
dien-, also Plattenrotation betreiben. Time 
Machine merkt sich den Backup-Stand je 
Medium, sodass man problemlos mit 
wechselnden Backup-Sets arbeiten kann, 
um die Gefahr der Datenkorruption zu re- 
duzieren. 


Übers Netz funktioniert Time Machine 
übrigens bislang nicht unmittelbar: Apple 
hatte die Funktion in Vorversionen von 
Leopard zwar vorgesehen, hat sie in der 
endgültigen jedoch abgeschaltet. Im Inter- 
net kursieren zwar Tipps, wie man trotz- 
dem SMB- oder NFS-Dateisysteme mit 
Time Machine nutzen kann. Diese setzen 
jedoch auf ein dort erzeugtes Plattenab- 
bild mit HFS+-Filesystem, das fürs Back- 
up beziehungsweise Restore zu mounten 
ist. Mangels Unterstützung durch Apple 
verbietet sich dieses Verfahren in Produk- 
tivumgebungen. 


Die Zeitmaschine verdankt ihrem Namen 
in erster Linie dem Restore-GUI, das eine 
virtuelle Zeitleiste einblendet. Je nach Ver- 


zum anderen durch den stark ausge- 
weiteten Gebrauch von Metadaten. Es 
existieren jetzt neben den klassischen 
Mac-Metadaten, die es schon vor 
OS X gab, und den seit 10.0 vorhan- 
denen extended Flags von BSD seit 
10.4 die Extended Attributes (EA), die 
Finder und System seit Leopard heftig 
nutzen. 

Zu allem Überfluss wird auch noch 
dynamisch zwischen den verschiede- 
nen Sets gemappt. Einem klassischen 
locked entspricht das BSD-Flag user 
immutable, dito einem Finder-Kom- 
mentar das EA com.apple.FinderInfo 
und vice versa. Einen Überblick über 
die diversen Flags verschaffen GerFile- 
Info(I) aus XCode und das Is(1)-Kom- 
mando (-O für BSD extended Flags, 
-@ für EA, -e ACLs). ACLs (Access 
Control Lists) setzt Apple seit 10.5 
konsequent ein, um einige Standardver- 
zeichnisse vor versehentlichem Lö- 
schen oder Bewegen zu schützen. Da- 
gegen durchsetzen kann man sich mit 
chmod(I), analog hilft für EAs xattr, 
das auch deren Anzeige übernimmt. 

Seit Leopard lassen sich auch mit der 
Desktop-Version von Mac OS X Datei- 
systeme oder Teile von ihnen in den 
Systemeinstellungen per AFP, SMB und 
FTP mit fein granulierten POSIX-Be- 
rechtigungen freigeben (ACLs wirken 


fügbarkeit von Sicherungen auf ihr kann 
man sich weiter in die Vergangenheit zu- 
rückhangeln und auf ältere Versionen von 
Objekten zurückgreifen. Time Machine ar- 
beitet dabei nicht ausschließlich mit einem 
Dateimodell. Vielmehr nutzt es bei An- 
wendungen, die bereits die TM-API ver- 
wenden, deren Objektmodell für die Anzei- 
ge älterer Versionen. 


Beispielsweise kann man im Adressbuch 
direkt nach Kontakten suchen ohne wissen 
zu müssen, wo auf der Platte sie liegen. 
Analog in Mail-Programmen, wo die Spot- 
light-Integration in TM das Suchen in nur 
im Backup verfügbaren Datenbeständen er- 
möglicht. Es steht zu hoffen, dass viele 
Programme diese Integration mit Time 
Machine nutzen. Die Komplexität für den 
Entwickler ähnelt der beim Schreiben von 
MDlImporter-Plug-ins für Spotlight. 


Zurzeit ist Time Machine als alleiniges 
Backup-Werkzeug allerdings noch nicht zu- 
verlässig genug. Diverse Anwenderberichte 
belegen mangelnde Stabilität sowohl beim 
Backup als auch beim Restore. Und solange 
Letzterer nicht immer und unter egal wel- 
chen Bedingungen klappt, ist ein Backup 
nichts wert. Es heißt also noch abzuwarten. 
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Betriebssysteme 


trotzdem). Bonjour annonciert alle 
Dienste, sodass das Auffinden von 
Ressourcen im Netz komfortabler 
denn je verläuft. Dasselbe gilt auch für 
die Druckerfreigabe, deren Basis nun 
CUPS 1.3 ist, das authentifiziertes 
Drucken per Kerberos beherrscht. 


Apples GUI unabhängig 
von der Auflösung 


Der TCP/IP-Stack von 10.5 justiert 
optimale Buffergrößen selbstständig 
abhängig von den Umgebungsbedin- 
gungen. Spotlight bekam zudem Netz- 
fähigkeiten spendiert: Passende Be- 
rechtigungen vorausgesetzt, kann man 
auf anderen Leoparden im LAN nach 
Dateien suchen. Die neue integrierte 
anwendungsorientierte Firewall er- 
laubt prinzipiell feiner abgestufte Re- 
geln als der reine Paketfilter der Vor- 
gängerversionen, steht aber schon 
wegen offensichtlicher Lücken in der 
Kritik (www .heise.de/security/artikel 
/98090/0). 

Mit 10.5 scheinen sich Apples 
APIs und Frameworks allmählich zu 
stabilisieren. Cocoa-Programmierer ha- 
ben mit minimalem Aufwand Zugriff 
auf mächtige OS-Funktionen — bei- 
spielhaft seien Core-Image und -Ani- 
mation genannt. Andere Frameworks 
wie QuartzGL/CoreUlI erschließen ei- 
ne weitere Leopard-Novität, die kom- 
plette Auflösungsunabhängigkeit des 
Aqua-GUl: Control plus Scroll-Rad 
vergrößert die Ansicht. Über kurz 
oder lang muss man daher damit rech- 
nen, dass viele Programme 10.5 als 
Mindestvoraussetzung vorgeben, auch 
da mit Leopard Signed Code in großem 
Stil Einzug halten wird, also die Un- 
versehrtheit als Programmcode zur 
Voraussetzung für den Start gelten 
muss. 


Automator 
protokolliert Klicks 


Aber auch dem Gelegenheitsprogram- 
mierer beziehungsweise Skripter bietet 
sich viel Neues: Applescript ist in Ver- 
sion 2.0 mächtiger und zugleich kom- 
fortabler, zudem lassen sich weitere 
Bereiche des Systems vollständig da- 
mit steuern. Der Automator als von 
Laien bedienbares Universalwerkzeug 
für Automatisierung erhielt mehr Nutz- 
wert. So lassen sich mit ihm jetzt Be- 
nutzeraktionen wie Mausklicks und 
Tastendrücke aufzeichnen und kombi- 
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niert mit anderen Automator-Aktionen 
als Workflow speichern. 

Python und Ruby können vollwer- 
tig für Skripting per Apple Events be- 
nutzt werden [2], ab 10.5 geht das 
auch aus Objective-C-Code heraus — 
die neue Scripting Bridge macht es 
möglich. Spätestens nach Installation 
der kostenlosen Entwicklungsumge- 
bung XCode 3.0 steht mit Mac OS X 
10.5 eine vollwertige und umfang- 
reich ausgestattete Entwicklungsplatt- 
form auch für klassische Webanwen- 
dungen zur Verfügung. DTrace rüstet 
sie zudem mit maximalem Komfort 
bei der Analyse aus. 


Fazit 


Apples OS X 10.5 bringt neben vielen 
Detailverbesserungen erstmals den 
kompletten Umstieg auf 64 Bit. An 
der Oberfläche fällt eine Vereinheitli- 
chung der Fenstergestaltung ins Auge. 
Das mitgelieferte Backup- und Restore- 
Programm „Time Maschine“ alleine 
würde den Umstieg rechtfertigen. Bis- 
lang plagen allerdings noch Kinder- 
krankheiten gerade dieses Produkt. 
Für den produktiven Einsatz empfiehlt 
es sich daher, bis zur Version 10.5.3 
oder 10.5.4 zu warten. (ck) 
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Tiger-Look 


Wer als Administrator fürchtet, Anwen- 
der wären mit einzelnen Aspekten der 
neuen Oberfläche überfordert, obwohl 
die Macht der Gewöhnung eher früher 
als später Abhilfe schafft, dürfte an Fol- 
gendem Gefallen finden: 


— Dock von der Verspiegelung befreien: 


defaults write com.apple.dock no-glass \ 
-boolean YES; killall Dock 


(alternativ TinkerTool dafür verwenden, 
siehe „Onlinequellen“) 


— Hierarchische Ordner statt Stacks im 
Dock: Installation von HierarchicalDock 
(alternativ DragThing einsetzen oder die 
Vorzüge der Finder-Seitenleiste schätzen 
lernen) 


— Transluzenz der Menüleiste reduzieren: 


sudo defaults write 7 
/System/Library/LaunchDaemons/ 7 
com.apple.WindowServer 7 
'EnvironmentVariables' -dict 7 
'CILNO_BACKGROUND_IMAGE! 0.62 


(alternativ OpaqueMenußBar installieren 
oder Schreibtisch-Hintergrundbild mit 
20 Pixel hohem, hellen Streifen nutzen) 


"Wertung 


© virtuelle Desktops 
© auflösungsunabhängiges GUI 


© Verfolgung laufender Prozesse per 
dirace 


© Time Machine noch nicht zuverlässig 


Lieferumfang und Preise 


Betriebssystem Mac OS X 


Katzennachwuchs; Tiger: Version 10.5 „Leopard" 
Neue Version von Mac OS X; Anbieter www.apple.de 
iX 6/2005, S.18 Medium DVD 
[2] Thomas Kaiser; Scripting; Preis Einzelbenutzer: 108,40 €; 
Futter für die Katze; Tiger: Mac 5 Benutzer (Familienlizenz) 
OS X mit Unix-Mitteln nutzen; 167,23 € zzgl. MwSt. 
iX 2/2006, S. 144 
Onlinequellen 


Apples Feature-Liste 

Ars Technica Review 

TinkerTool 

DragThing 

HierarchicalDock und OpaqueMenuBar 
Quick Look Plug-Ins 


www.apple.com/de/macosx/features 
arstechnica.com/reviews/os/mac-os-x-10-5.ars 
www.bresink.de/osx/TinkerTool-de.himl 
www.dragthing.com 

eternalstorms.at 


apfelquak.de/gl-plugins 
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Computerforensik 


Umfangreiche Datenmengen sichern 


mit dem TreCorder 


Express-Sicherung 


Sebastian Krause 


Viele Daten in möglichst kurzer Zeit sicherzustellen, ist für 
Ermittler von Computerdelikten aller Art unerlässlich. Eine neue 
Hochgeschwindigkeits-Hardware soll das bewerkstelligen und 


zeigt, was technisch möglich ist. 


ie Beweismittelsicherung um- 
D fangreicher Datenmengen ist ei- 

ne Herausforderung für die Be- 
handlung von Sicherheitsvorfällen und 
die digitale Forensik. Das muss nicht 
nur schnell, sondern auch fälschungs- 
sicher über die Bühne gehen. Ein in 
Zusammenarbeit von deutschen und 
Schweizer Ingenieuren entwickelter 
tragbarer Forensikcomputer namens 
TreCorder soll insbesondere Sicher- 
heits- und Strafverfolgungsbehörden 
bei der Erstellung der gerichtsverwert- 
baren digitalen Kopien in kürzester 
Zeit unterstützen. 
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An forensische Duplikate als Basis 
für die eigentliche Untersuchung, die 
sogenannte Post-mortem-Analyse, 
stellen die Beteiligten unter anderem 
hohe Integritätsanforderungen, nicht 
zuletzt aus Gründen der späteren 
Gerichtstauglichkeit. So muss durch 
Prüfsummenverfahren belegt und je- 
derzeit nachweisbar sein, dass das 
bitweise erstellte Duplikat eines ver- 
dächtigen Datenträgers exakt dem Ori- 
ginaldatenträger entspricht. Schreibzu- 
griffe auf den zu untersuchenden 
Datenträger soll ein Write-Blocker 
(Schreibschutz) verhindern. 


Lässt sich diese Anforderung bei 
einzelnen Festplatten aus Arbeitssta- 
tionen mit den in Unternehmen und 
Behörden üblichen Größen noch mit 
vertretbarem technischen und zeit- 
lichen Aufwand realisieren, wächst 
der Aufwand bei umfangreichen Spei- 
chersystemen wie RAID- oder NAS- 
Systemen, aber auch groß dimensio- 
nierten Festplatten erheblich. 

In diesen Fällen spielt der von der 
deutschen Firma mh SERVICE und der 
Schweizer Arina Electronic in Zu- 
sammenarbeit mit den Landeskriminal- 
ämtern und dem Bundeskriminalamt 
entwickelte TreCorder seine Stärken 
aus. Der aufgrund des Metallgehäuses 
sehr robuste, aber auch schwere mobile 
Computer ist unter anderem ausgestat- 
tet mit drei internen Write-Blockern 
vom Typ T345 des Herstellers Tableau, 
die den Anschluss von Festplatten nach 
den Schnittstellenstandards IDE, SATA 
und SCSI ermöglichen. Die in 5,25“- 
Schächten eingebauten Write-Blocker 
sind intern über IEEE 1394b (Firewire 
800) angebunden und ermöglichen 
Hot-Swapping — Ein- und Ausstöpseln 
im laufenden Betrieb — der zu unter- 
suchenden Datenträger. 


Schreibzugriff 
unterbinden 


Nach außen stellen die Write-Blocker 
jeweils die Stromversorgung für die 
Festplatten bereit (Abbildung 1). Die für 
den Anschluss der Festplatten benötig- 
ten Kabel werden in einem Alukoffer 
separat mitgeliefert. In der aktuellen 
Ausführung sind ebenfalls integrierte 
schreibgeschützte Schnittstellen für 
USB und Fibre Channel sowie ein 
schreibgeschützter 12-in-1-Kartenleser 
enthalten. Somit ermöglicht es der Tre- 
Corder, von allen verbreiteten Speicher- 
medien schreibgeschützt bitweise eine 
digitale Kopie zu erstellen. Auf kleine 
Details wie externe Festplattenlüfter ha- 
ben die Hersteller ebenfalls geachtet. 
Vor Beschädigungen des TreCorders 
auf Flügen schützt ein erhältlicher 
Flight-Case. Jedoch sollte man die Da- 
tenträger-Images auf den internen Fest- 
platten des TreCorders verschlüsseln 
oder zumindest die Wechselfestplatten 
„am Mann“ transportieren. 

Ermittler können den TreCorder so- 
fort einsetzen. Für die Erstellung der fo- 
rensischen Duplikate sind unter Linux 
der AIR Imager sowie das EnCase- 
Werkzeug LinEn und unter Windows 
der FTK Imager von Accessdata sowie 
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Die in den Schächten eingebauten 
Write-Blocker ermöglichen den 
Anschluss von IDE-, SATA- und 
SCSI-Festplatten und stellen die 
Stromversorgung für sie bereit 
(Abb. 1). 


X-Ways Forensics installiert. Da Letzte- 
res als Vollversion enthalten ist, Können 
die sichergestellten Daten im Anschluss 
gleich untersucht werden. Aufgrund der 
Ausstattung mit performanten System- 
komponenten wie dem Quad-Core-Pro- 
zessor Q6600 (2,4 GHz) und 4 GByte 
RAM PC800 eignet sich der TreCorder 
auch für die Post-mortem-Analyse. 

Für die Speicherung der forensischen 
Images stehen im TreCorder drei Ziel- 
festplatten a 750 GByte im Wechselrah- 
men zur Verfügung. Diese sind mit dem 
Dateisystem FAT32 formatiert, um Zu- 
griffe aus Windows und Linux auf die 


Seine volle Geschwindigkeit erreicht der TreCorder beim parallelen Erstellen 
von forensischen Duplikaten dreier Festplatten, hier mit dem Werkzeug FTK 
Imager (Abb. 2). 


sichergestellten Daten zu ermöglichen. 
Das bringt die Einschränkung mit sich, 
dass maximal 4 GByte große Dateien 
erstellt werden können und die in der 
Regel deutlich größeren Festplatten- 
Images geteilt werden müssen. 

Eleganter wäre der Einsatz von 
Ext 2/3, auf das man auch aus Win- 
dows mit einem Treiber wie „Ext2 IFS 
for Windows“ (www .fs-driver.org) le- 
send und schreibend zugreifen kann. 
Den TreCorder liefert mh SERVICE 
als Dual-Boot-System mit Opensuse 
in der jeweils aktuellen Version (Test- 
system mit Version 10.3) und Win- 
dows XP Professional SP 2 aus. 


So wurde getestet 


Der Hersteller gibt für die gleichzeitige 
Sicherung dreier Festplatten Datenraten 
von etwa 9,3 GByte pro Minute an. Im 


Rahmen der Teststellung wurden mit 
dem TreCorder Datenträger-Images der 
folgenden Festplattentypen erstellt: 
- Samsung SP1614N, IDE-Schnittstelle, 
160 GByte, Baujahr 05/2004 
— Samsung HD321KJ, SATA-Schnitt- 
stelle, 320 GByte, Baujahr 04/2007 
Die Messungen erfolgten mit den 
Werkzeugen AIR Imager und LinEn 
unter Linux sowie mit FTK Imager 
unter Windows. Die Geschwindig- 
keitsvorteile aus der Verwendung der 
Tableau-Write-Blocker sollte eine Ver- 
gleichsmessung über einen schreib- 
geschützten USB-2.0-Anschluss des 
TreCorders, das heißt ohne Tableau- 
T345-Write-Blocker belegen. Des Wei- 
teren kam als alternative Methode ein 
Dell-Notebook D630 mit der Forensik- 
tool-Sammlung Helix 1.8 und dem 
Werkzeug LinEn zum Einsatz, um das 
Image einer über einen Write-Blocker 
Tableau T5 und IEEE 1394b ange- 
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Computerforensik 


Messdaten bei Duplikation verschiedener Festplatten 


Messung Nr. Festplattentyp Kapazität 

] Samsung SPI614N, 49,05 
IDE, 160 GByte 

Al Samsung SPI614N, 49,05 
IDE, 160 GByte 

3 Samsung SPI614N, 49,05 
IDE, 160 GByte 

4 Samsung HD321KJ, 298,09 
SATA, 320 GByte 

5 Samsung SP1614N, IDE, 160 GByte 149,05 
Samsung SPI614N, IDE, 160 GByte 149,05 
Samsung SPI614N, IDE, 160 GByte 49,05 

6 Samsung HD321Kl, SATA, 320 GByte 298,09 
Samsung HD321K), SATA, 320 GByte 298,09 
Samsung HD321K), SATA, 320 GByte 298,09 

7 Samsung SPI614N, IDE, 160 GByte 149,05 

8 Samsung SPI614N, IDE, 160 GByte 149,05 


schlossenen Festplatte auf eine Ziel- 
festplatte in einem externen USB-2.0- 
Gehäuse zu erstellen. 

Vor jedem Image-Vorgang fand ei- 
ne Neuformatierung der Zielfestplat- 
ten statt, um einheitliche Vorausset- 
zungen zu schaffen. Es wurden bei 
allen Messungen MDS5-Prüfsummen 
erstellt, auf eine Verifikation jedoch 
verzichtet. Die Images wurden immer 
in 2 GByte große Dateien aufgeteilt. 
Die Ergebnisse der Image-Vorgänge 
sind in der Tabelle aufgeführt. 


Grenzen der 
Geschwindigkeit 


Die Abweichungen der Übertragungsra- 
te zwischen den beiden Festplattentypen 
bei gleichen Anschlussvarianten ver- 
deutlichen die Abhängigkeit von der 
Bauart beziehungsweise von Schnittstel- 
le und Baujahr der untersuchenden Fest- 
platte. In der Praxis treffen Ermittler bei 
vielen Computerdelikten auf ältere Fest- 
platten, die die Geschwindigkeitsreser- 
ven des TreCorders nicht ausschöpfen 
können. Dass die Wahl des Werkzeugs 
für die Beweismittelsicherung ebenfalls 
Auswirkungen auf die zu erreichenden 
Datenraten hat, zeigen die Unterschiede 
zwischen den verwendeten Hilfsmittel. 
Das in der etwas älteren Version 5.05c 
installierte LinEn erreichte hier die bes- 
ten Ergebnisse (siehe Tabelle). 

Der Vergleich der alternativen Me- 
thode mit Tableau T5 am Dell-Note- 
book und dem Anschluss über den 
Write-Blocker T345 des TreCorders 
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Sicherungshardware Sicherungssoftware Prüfsumme 
(Binärpräfixe) in GByte 

TreCorder, T345 auf interne inux, MD5 
SATA-ielfestplatte Linen 5.05c 

TreCorder, T345 auf interne Linux, MD5 
SATA-Zielfestplatte AIR-Imager 1.2.8 
TreCorder, T345 auf interne Windows, MD5 
SATA-ielfestplatte FIK Imager 2.5.3 
TreCorder, T345 auf interne Linux, MD5 
SATA-Zielfestplatte Linen 5.05c 

TreCorder, 3xT345 auf interne inux, MD5 
SATA-ielfestplatten Linen 5.05c 

TreCorder, 3xT345 auf interne inux, MD5 
SATA-ielfestplatten inen 5.05c 

TreCorder, Quell-Festplatte USB 2.0 Linux, MD5 
auf interne SATA-Zielfestplatte Linen 5.05c 

Dell D630, Quell-Festplatte Helix 1.8 Linux, MD5 
über Tableau T5 IEEE 1394, Linen 5.05f 


Zielfestplatte Samsung SP1614N 
über ICYBOX (IB-351UE-B USB 2.0) 


offenbart einen fast 2,5-fachen Ge- 
schwindigkeitszuwachs bei Einsatz des 
TreCorders. Wenn auch am TreCorder 
nur der schreibgeschützte USB-2.0-An- 
schluss genutzt wird, verringert sich 
der Vorsprung auf etwa 2 MByte pro 
Sekunde. Der TreCorder erreichte er- 
wartungsgemäß seine maximale Ef- 
fektivität bei der parallelen Beweis- 
mittelsicherung von drei Festplatten 
gleichzeitig. Hier wurde ein Spitzen- 
wert von 8,78 GByte pro Minute ge- 
messen. Weitere Messergebnisse aus 
herstellereigenen Tests in Zusammen- 
arbeit mit dem LKA Niedersachsen 
sind auf der Webseite der Firma mh 
SERVICE (www .mh-service.de) ver- 
öffentlicht. 


Fazit 


Insbesondere für Sicherheits- und Straf- 
verfolgungsbehörden, die sich regelmä- 
Big und unter Zeitdruck mit umfangrei- 
chen Datenmengen im Rahmen von 
computerforensischen Untersuchungen 
konfrontiert sehen, beschleunigt der 
TreCorder die gerichtsverwertbare Be- 
weismittelsicherung deutlich. Gerade 
wenn mehrere Festplatten sichergestellt 
werden müssen, kann er seine Stärken 
durch die parallele Imageerstellung 
voll ausspielen. Für Ermittler, die et- 
was mehr Zeit mitbringen, gibt es 
allerdings auch deutlich günstigere Al- 
ternativen wie das Anschließen von 
externen Write-Blockern über Fire- 
wire 800 oder USB 2.0 an performan- 
te Notebooks. (ur) 


Dauer MByte / GByte / GByte / 
(hhimm:ss) Sekunde Stunde Minute 
00:55:35 45,77 60,89 2,68 
01:14:47 34,02 19,59 1,99 
01:00:01 42,38 4,01 2,48 
01:40:15 50,75 78,41 2,97 
00:55:20 45,97 61,62 2,69 
00:54:40 46,53 63,59 208 
00:56:42 44,86 57,13 2,63 
Summe: 8,05 
01:44:15 48,80 171,56 2,86 
01:39:41 51,04 79,42 2,99 
01:41:43 50,02 75,84 2,93 
Summe: 8,78 
02:02:58 20,69 DR 121 
02:18:32 18,36 64,56 1,08 
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Desktop-Rechner 


nen an die Kühlkörper der mit Tran- 

sistoren bestückten Hi-Fi-Endstufen 
erinnern dürfte, das fällt beim Senyo 
710 als erster Unterschied zu bisherigen 
Desktop-Rechnern ins Auge. Andere 
sehen vielleicht Parallelen zum alten 
Radio - nein, die beiden Knöpfe kann 
man nicht drehen. Der rechte Taster 
dient zum Ein-/Ausschalten, der linke 
zum Auswerfen der Laserdisk. Die 
leuchtenden Ringe signalisieren rechts 
eisblau „eingeschaltet“ und links fla- 
ckernde Aktivitäten im Rotlicht. 

Dass es sich bei dem Gehäuse im 
Grunde genommen um einen einzigen 
Kühlkörper handelt, verrät einem der 
Warnhinweis auf dem Aufkleber: Man 
darf da nichts draufstellen — ein erstes 
Zugeständnis an den Lüfterlosen. 
Grundsätzlich sollte man solchen Ge- 
räten, die ihre innere Hitze über die 
Außenhaut abstrahlen müssen, rings- 
rum Luft lassen. 


E in wenig Retrolook, der manch ei- 


Besondere Umgebungen 


Transtec sieht die Haupteinsatzbereiche 
in Büros und daheim als Mediacenter 
sowie in Bereichen, in denen es auf Ru- 
he ankommt, etwa in Arztpraxen und 
Krankenhäusern. Für die übliche Büro- 
arbeit und das Surfen im Netz ist selbst 
die kleinere Konfiguration mehr als 
hinreichend ausgestattet, wie in der Ta- 
belle rechts zu sehen. 

Hervorzuheben sind der Netzschalter, 
der das Gerät vom Stromnetz trennt, 
die reichliche Zahl von Anschlüssen, 
vor allem der für DVI, zu bemängeln 
das magere Angebot für USB-Geräte. 
Um- oder Ausbaumaßnahmen erschwert 
Transtec durch spezielle Sternschrau- 
ben, für die nur wenige den passenden 
Schraubendreher haben dürften. Dafür 
verhindert das rundum geschlossene 
Gehäuse das Eindringen von Staub. 
Gespart hat der Hersteller bei den trans- 


Lüfterloser Tischrechner 
Senyo /10 von Transtec 


Im Stillen 


Ralph Hülsenbusch 


Transtec hat einen Desktop-Rechner auf den Markt gebracht, der nicht 
nur geräuschlos sein, sondern zudem mit der Energie haushalten 
und trotzdem die für einen PC akzeptable Leistung erbringen soll. 


parenten Kunststoffnoppen unter dem 
Boden, die ein Hin- und Herrutschen 
verhindern. Im Test war nach kurzer 
Zeit einer abgefallen und verschwunden. 
Für den Einsatz als Multimediacenter 
setzt die Grafik Grenzen. Intels GMA 
950 eignet sich wegen des „dynami- 
schen“ Speichers, den der Controller 
vom Hauptspeicher abzwackt, nicht für 
anspruchsvolle 3D-Darstellungen. Mes- 
sungen mit einigen Benchmarks zeigen, 
dass der Senyo mit der Core 2 Duo CPU 
T7200 nicht viel mehr Leistung als 
mit dem Celeron bringt. Das sonst na- 
hezu geräuschlose Gerät beginnt hef- 
tig zu lärmen, wenn es für eine CD 
das Laufwerk auf Touren bringt. Und 
nicht nur das: Es riecht unangenehm 
nach überhitzter Elektronik. Im länge- 
ren Betrieb steigt die Temperatur des 
Gehäuses auf über 40° C (im Test auf 
44° C, an der Rückseite gemessen). 
Im Standby ergaben Messungen ei- 
nen Verbrauch von 13,5 W, unter Voll- 
last stieg der Wert auf knapp 47 W. 
Damit liegt der Senyo unter den Wer- 
ten handelsüblicher Notebooks. Aber 
auf der Kehrseite der Medaille steht 
ein Wirkungsgrad von etwas über 
50 %. Das heißt, die Versorger müs- 


Senyo 710 PC, lüfterloser Desktop-Rechner 
Hardware: Core 2 Duo T7200, 2 GHz, 2 MByte L2-Cache; 2 GByte Dual-Channel DDR2 SDRAM; 
160 GByte ATA-HD; DVD-Laufwerk: Double-Layer, +/-RW; GMA950 GM onboard Grafik; 3 X 
Gigabit-Ethernet; Anschlüsse Rückseite: 2 x PS/2, 3 xRJ45 (Ethernet), 6 x Audio, je 1 x RS-232, 
IEEE 1394 (Firewire), VGA, DVI und Strom mit Ein-/Ausschalter 


Software: Windows XP Professional 2002 SP2; Handbuch (PDF), Nero Express 7 
Hersteller/Anbieter: Transtec, Tübingen (www.transtec.de) 


Preis: 2260 € [Teststellung] 


iX-Wertung: & geräuschlos (ohne CD) 
© Strom sparend 
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© schwache Grafikleistung 
© Emissionen bei DVD-Nutzung 


© nicht erweiterbar 
© zu teuer 


sen fast doppelt so viel liefern wie das 
Gerät an Wirkleistung bietet. Beim 
Hochfahren kommen Spitzen von bis 
zu 72 W zustande, vollständig ausge- 
schaltet bleibt ein Rest von 2 VA 
Blindleistung. 


Fazit 


Fanless stellt sicherlich ein besonderes 
Merkmal für Desktop-PCs dar. Der ei- 
ne oder andere dürfte sich für den ge- 
ringen Stromverbrauch und fast völlige 
Stille beim Arbeiten begeistern. Die 
Technik ist allerdings im industriellen 
und klinischen Bereich bekannt und 
kommt teilweise in ruggedized Note- 
books zum Einsatz [1]. Und auch dort 
gilt, dass die Geräte im Vergleich zu 
herkömmlichen Desktops mit geringe- 
rer Leistung arbeiten. Fans von Musik 
und Videos auf DVD oder CD kann 
Transtec mit dem Senyo nicht gewin- 
nen. Die Geräusche übertönen bei 
CDs sanfte Passagen und ob die Ge- 
ruchsbelästigung sich mit der Zeit ver- 
liert, bleibt fraglich. Noch offen bleibt 
die Frage, warum der Senyo fast dop- 
pelt so teuer ist wie die vergleichbaren 
Mac oder PC Minis [2]. Alles in allem 
ist aber der Trend zum sparsamen 
Umgang mit Energie zu begrüßen und 
die damit verbundene Rückkehr des 
Ausschalters. (rh) 
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Sicherheit 


er Zugriff auf passwortgeschützte 
D Daten ohne Kenntnis des dazuge- 

hörigen Kennwortes kann mitun- 
ter auch ohne böse Absichten nötig 
sein. Es gibt viele legale Anwendungs- 
zwecke für Passwortanalyseprogram- 
me. Wurde ein Passwort vergessen 
oder ist der einzige Administrator, der 
es kannte, nicht mehr im Unternehmen, 
muss man an die verschlüsselten Daten 
mit Gewalt herankommen. Das betrifft 
auch den Bereich der computerforensi- 
schen Ermittlung, wenn sichergestellte 


Passwörter knacken mit Elcomsofts DPR Suite 


Der letzte Zugrif 


Alexander Geschonneck 


Für jede Software gibt es einen „good use” und einen 
„bad use”. Das gilt besonders für heikle Programme wie 
Passwortknacker - doch ob Spitzbube oder Administrator, 


beide wollen, dass er funktioniert. 


Datenträger oder darauf gespeicherte 
Anwendungen und Daten mit Pass- 
wörtern geschützt sind. Der russische 
Softwarehersteller Elcomsoft hat seine 
Passwortanalyseprogramme in einer 
neuen Sammlung zusammengefasst. Die 
im Elcomsoft Passwort Recovery Bund- 
le für Ermittler in Version 2.0 enthaltene 
Distributed Passwort Recovery Suite 
(DPR) bietet nun auch die Möglichkeit, 
in verteilten Umgebungen komplexe 
Passwortanalyseverfahren durchzufüh- 
ren. Eine weitere Neuerung ist die Op- 


Unterstützte Anwendungen und Dateiformate 


— Microsoft Word/Excel/PowerPoint 2007 
(.DOCX, .XLSX, .PPTX) (Passwort- 
wiederherstellung — nur das „öffnen“- 
Passwort) 


— Microsoft Word/Excel/PowerPoint XP/ 
2003 (.DOC, .XLS, .PPT) (Passwort- 
wiederherstellung — nur das „öffnen“- 
Passwort) 


— Microsoft Word/Excel 97/2000 (.DOC, 
XLS) (Passwortwiederherstellung — nur 
das „öffnen“-Passwort) 


— Microsoft Word/Excel 97/2000 (.DOC, 
XLS) (Entschlüsselung) 

— Microsoft Money (Passwortwiederher- 
stellung) 

— Microsoft OneNote (Passwortwieder- 
herstellung) 


—- PGP ZIP Archive (.PGP) (Passwort- 
wiederherstellung) 


— PGP Secret Key Rings (.SKR) (Pass- 
phrasewiederherstellung) 


— PGP Disks mit konventioneller Ver- 
schlüsselung (.PGD) (Passwortwieder- 
herstellung) 

— PGP Selbstentschlüsselnde Archive 
(.EXE) (Passwortwiederherstellung) 
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-— PGP Whole Disk Encryption (Pass- 
wortwiederherstellung) 


— Personal Information Exchange Zerti- 
fikate - PKCS#12 (.PFX, .P12) (Pass- 
wortwiederherstellung) 


— Adobe Acrobat PDF mit 128-Bit-Ver- 
schlüsselung (Passwortwiederherstellung) 


— Adobe Acrobat PDF mit 40-Bit-Ver- 
schlüsselung (Passwortwiederherstellung) 


— Adobe Acrobat PDF mit 40-Bit-Ver- 
schlüsselung (Entschlüsselung) 


— Windows NT/2000/XP/2003/Vista logon 
passwords (LM/NTLM) (Passwortwie- 
derherstellung) 


- Windows SYSKEY Startup Passwort 
(Passwortwiederherstellung) 


— Windows DCC (Domain Cached Cre- 
dentials) Passwörter (Passwortwieder- 
herstellung) 


— Intuit Quicken (.QDF) (Passwortwieder- 
herstellung) 


— Lotus Notes ID Dateien (Passwortwie- 
derherstellung) 


— MDS5 Hashes (Klartextwiederherstellung) 


‚Angaben laut Hersteller 


tion, Windows-SYSKEY-Startup-Pass- 
wörter sowie zwischengespeicherte Do- 
main Credentials zu analysieren. Und 
schließlich kann die neue Software auf- 
wendige Passwortanalyseaufgaben durch 
eine GeForce-8-Grafikarte erledigen las- 
sen — ein Verfahren, das das Unterneh- 
men zum Patent angemeldet hat. 

DPR besteht im Wesentlichen aus 
drei Komponenten: Agent, Server und 
Konsole. Sie lassen sich unabhängig 
voneinander auf verschiedenen Syste- 
men installieren und betreiben und damit 
sowohl im LAN als auch in größeren 
Netzwerken einsetzen. Die Authentifi- 
zierung und Kommunikation zwischen 
allen DPR-Komponenten erfolgt ver- 
schlüsselt. Ob das verwendete Ver- 
schlüsselungsverfahren durch die DPR 
selbst knackbar ist, geht aus der Doku- 
mentation nicht hervor. Da letztendlich 
vertrauliche Informationen wiederherge- 
stellt werden, ist es sowieso ratsam, in ei- 
ner geschützten Umgebung zu arbeiten. 

Ist die DPR-Serverkomponente ge- 
startet, lässt sie sich von jedem anderen 
System im Netz mit der darauf befind- 
lichen Konsole administrieren. Über die 
Konsole legt der Benutzer die Passwort- 
analysevorgänge auf dem Server fest 
und startet sie. Der Server verteilt diese 
sogenannten Tasks dann an die im Netz 
befindlichen DPR-Agents. Die Aufga- 
benverteilung ermöglicht ein unabhän- 
giges Arbeiten der Agents — was sich 
unter anderem günstig auf die Perfor- 
mance auswirkt. 

Die Agenten führen ihre Analysetasks 
in der Idle-Time des Systems aus, auf 
dem sie installiert sind. Bricht die Ver- 
bindung ab oder startet der Server neu, 
arbeiten sie trotzdem weiter und liefern 
ihre Analyseergebnisse ab, wenn der 
Server wieder erreichbar ist. Wenn der 
Server erreichbar ist, liefern die Agents 
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minütlich Statusinformationen, die man 
über die Konsole auslesen kann. Der 
Server kann allerdings nur solchen 
Agents Analyseaufgaben zuweisen, die 
sich beim Start bei ihm registriert haben. 


Verteilte Kraft 


Halten sich Anwender an Security-Poli- 
cies, können Passwörter lang und kom- 
plex sein. Ein einfacher Brute-Force- 
Angriff eines einzelnen Computers 
reicht dann nicht aus, sie in akzeptabler 
Zeit zu brechen. Das Durchprobieren 
aller möglichen Zeichen- und Buchsta- 
benkombinationen dauert einfach zu 
lange. Durch das Verteilen der Pass- 
wortanalyse auf viele Rechner lässt 
sich wertvolle Zeit gewinnen. 

Via DPR-Konsole lassen sich weitere 
DPR-Agents einfach installieren oder 
deinstallieren und auch das Rechenver- 
halten sowie die zu nutzenden Rechen- 
ressourcen und -prioritäten einstellen. 
So kann man etwa Wochentag und Uhr- 
zeit festlegen, zu der Passwortanalysetä- 
tigkeiten durch den Agent auf dem 
Client gestartet werden dürfen. Eben- 
falls zentral für jeden einzelnen Client 
einstellbar ist, ob der DPR-Agent als 
Systemdienst starten soll. Zu den laufen- 
den Passwortanalysetasks lassen sich 
über die zentrale Konsole Protokoll- 
informationen und Statistiken abrufen. 

Zur diesjährigen Systems hat der 
Hersteller eine neue Plattform für die 
Passwortanalyse gezeigt. Es ist mit der 
DPR-Version 2.0 nun möglich, rechen- 
aufwendige Tasks durch eine GeForce- 


Die zentrale 
Konsole ermöglicht 
den einfachen 

und schnellen 
Zugriff auf alle 
Komponenten und 
. bietet einen 
Überblick über die 
laufenden Tasks 
(Abb. 1). 


Grafikkarte des Herstellers Nvidia er- 
ledigen zu lassen. Laut Hersteller las- 
sen sich beim Analysieren von NTLM- 
Hashes Geschwindigkeitsvorteile von 
bis zu 25 Prozent erzielen — bei Brute- 
Force-Analysen ein spürbarer Gewinn. 
GeForce-8-Karten werden sich im Büro- 
umfeld aber wohl eher selten finden 
lassen. 


Fazit 


Passwortanalysen sind nicht nur für Bö- 
sewichte sinnvoll. Hat ein Mitarbeiter 
oder Administrator sein Passwort verges- 
sen, ist Passwortknacken zugegebener- 
maßen nicht die beste, manchmal aber 


Distributed Password Recovery Suite 


Hersteller: ElcomSoft Co Lid, www.elcomsoft.com 


Betriebssystem: Windows 2000, XP, Vista, 2003 
Server 


Preis: je nach Anzahl der von der Konsole zu 
bedienenden Agents, bis zu 100 Clients 1199 Euro 


Sprachen: Deutsch, Englisch, Russisch, Japanisch 


die einzige Notfallmaßnahme. Auch im 
Bereich der computerforensischen Aus- 
wertung von verschlüsselten Dateien 
stellt sich oft die Frage der Zugriffsmög- 
lichkeiten. Die Distributed Password Re- 
covery Suite von ElcomSoft bietet die 
Möglichkeit, auch komplexe und lang- 
wierige Passwortanalysen in einer ver- 
teilten Umgebung zu beschleunigen. (ur) 


ALEXANDER GESCHONNECK 


ist leitender Sicherheitsberater bei 

der HiSolutions AG in Berlin und Autor 
des Buches „Computer-Forensik - System- 
einbrüche erkennen, ermitteln, aufklären”. 


© verteilte Analyse spart Zeit 


& ressourcenschonender Grafikkarten- 
einsatz 


©& unterstützt sehr viele Formate und 
Anwendungen 


© für Agents nur Windows-Versionen 
verfügbar 
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Multi-Core-Server 


group Server mit Energiespar-Opfion. 


er 


Hochgerechnet 


Ralph Hülsenbusch 


Zunehmend rückt der Aspekt des Energieverbrauchs in 
der IT in den Vordergrund, selbst bei Rechnern der oberen 
Leistungsklasse. Worauf es dabei ankommt, will Lynx mit 
seinem Server und neuen Energiespar-CPUs zeigen. 


enn heutzutage von Multipro- 
zessor-Rechnern die Rede ist, 
kommt es leicht zu Missver- 


ständnissen, denn in jedem Prozessor- 
chip werkeln mehrere Kerne, die oft als 
CPU bezeichnet werden. Intels jüngste 
Xeon-Generation besitzt vier davon und 
kommt in Systemen mit mehreren So- 
ckeln zum Einsatz — bis auf die U-Ver- 
sion für Single-Boards [1]. Der Server, 
den Lynx zum Test lieferte, besitzt zwei 
Sockel und hat damit acht CPU-Kerne. 

Das erfordert eine entsprechende 
Ausrüstung mit Speicher, denn ange- 
sichts heutiger Datenvolumina brau- 
chen Anwendungen pro Kern gut und 
gerne 1 GByte Hauptspeicher, manche 
sogar noch etwas mehr. Und für Ser- 
ver-Applikationen gilt beim Speicher: 
je größer, desto schneller. Die muss 
wiederum ein genügend großer und ge- 
sicherter Massenspeicher versorgen. 
Die Größe der Festplatten spielt dabei 
weniger eine Rolle als vielmehr deren 
Zahl, denn nur mit Redundanz sind 
RAID-Level realisierbar, die den An- 
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sprüchen an Verfügbarkeit der Dienste 
gerecht werden können. 


Energiesparen 
mit speziellen CPUs 


Lynx lieferte seinen Workgroup Server 
LYSRV-SIZRAB mit zwei Xeon 
Quad-Core E5345 (Clovertown) und 
16 GByte Hauptspeicher sowie Suse Li- 
nux Enterprise Server 10 (SLES 10) in 
der 64-Bit-Ausführung. Die 80-Watt- 
Prozessoren sind mit 2,3 GHz getak- 
tet, verfügen über zwei 4 MByte große 
L2-Caches und einen 1333 MHZ schnel- 
len Frontside Bus (FSB). Im Grunde 
genommen handelt es sich um zwei 
Dual-Core-Prozessor-Dies mit je ei- 
nem L2-Cache in einem Gehäuse - ein 
Kunstgriff, den Intel schon einmal beim 
Core 2 Quad verwendet hat. In den Pro- 
zessorsockel LGA 771 (Land Grid Ar- 
ray) passen auch andere Xeon CPUs, 
von denen es unter anderem eine Ener- 
giesparversion (Low Voltage) gibt. Lynx 


hatte ein Pärchen L5335 geliefert, die 
nur 50 W verbrauchen (siehe Abb. 3). 
Der Hersteller, der im Oktober 2006 
in den Besitz der Triple Stor GmbH in 
Tübingen übergegangen ist, verwendet 
für den Rack-Server Intels fünf Einhei- 
ten hohen Barebone 5400LX mit zwei 
830-Watt-Netzteilen. Er ist für das 
Board S5000PSLSAS von Intel aus- 
gelegt, das mit dem 5000P-Chipsatz 
(„Blackford“) bestückt ist. Die Bens- 
ley-Plattform ist seit 2006 auf dem 
Markt und kam zuerst für die neuen 
Dual-Core-Prozessoren „Dempsey“ her- 
aus. Die folgende Generation „Wood- 
crest‘“ nutzt ebenfalls diese Architektur. 
Es geht darum, den Engpass FSB zu 
beseitigen, denn mit der Zunahme der 
Prozessorkerne kommt es zu konkurrie- 
renden Zugriffen auf den FSB und da- 
mit zu Wartezyklen. Dasselbe gilt für 
die Verbindungen zum Hauptspeicher. 
Je mehr Aufgaben gleichzeitig zu be- 
rechnen sind, desto häufiger muss der 
Chipset dem Prozessor mit seinen Re- 
chenkernen neue Daten liefern, und der 
muss warten. Untätige Schaltkreise ver- 
ursachen Kosten, gehen zu Lasten der 
Performance und verbrauchen Energie. 
Beim Blackford-Chipsatz lenkt Intel 
den Datenverkehr über mehrere Busse. 
Jeder Prozessor-Chip hat seinen eige- 
nen FSB, der zudem mit einer Fre- 
quenz von 1066 oder 1333 MHz über 
der des Vorgängers „Lindenhurst“ mit 
800 MHz liegt. Rein rechnerisch steigt 
der Datendurchsatz damit von 6,4 
GByte/s auf 8,5 respektive 10,7 GByte/s 
pro FSB. Die Steigerung trifft aber auf 
die vier Cores, die sich den FSB teilen 
müssen. Der Zuwachs gegenüber klas- 
sischen Vierprozessorsystemen (mit 
Single Cores) würde schlicht verpuf- 
fen, wenn Intel nicht zugleich die Zahl 
der Speicherbusse verdoppelt hätte: 
beim 5000P Chipsatz vier anstatt zwei 
wie beim 5000X. Hinzu kommt, dass 
hier Fully Buffered Dual Inline Memo- 
ry Modules (FB DIMM) zum Einsatz 
kommen, die dank der seriellen An- 
steuerung über 24 Leitungspaare eine 
bis zu viermal schnellere Datenüber- 
tragung als bei den Vorgängern, den 
registered Moduls erlaubt. Außerdem 
kann ein Bus bis zu acht Speicherbänke 
ankoppeln. Allerdings braucht die FB- 
Technik mehr Energie und Kühlung. 


Ungebrochener 
Trend zur Größe 


Wer sich auf Zeiten zurückbesinnt, zu 
denen Digital Semiconductor Alpha- 
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CPUs (21264) samt Chipsets produ- 
zierte, dem dürfte auffallen, dass DEC 
1998 mit Tsunami und 1999 mit Ty- 
phoon ein ganz ähnliches Konzept mit 
mehreren Frontside- und Speicherbus- 
sen realisiert hatte. IBM hat ein ähnli- 
ches Konzept bereits bei seinem 2005 
auf den Markt gebrachten X3-Chipset 
(Hurrican) eingeführt. 

Mit der Masse an Prozessorkernen, 
Speicherbausteinen und Festplatten 
wächst der Energieverbrauch. Denkt 
man an ein Acht-Wege-System mit 16 
GByte RAM und sechs SAS-Festplat- 
ten klassischer Bauart, rechnet man mit 
einem Verbrauch in der Kilowatt-Klas- 
se. Um dem Energiebedarf des Servers 
von Lynx auf die Schliche zu kommen, 
kam im iX-Labor ein geprüftes Einpha- 
senmessgerät aus dem Fundus von c’t 
zum Einsatz. Der Messvorgang durch- 
lief vier Phasen: am ausgeschalteten 
Server, beim Hochfahren, im „norma- 
len“ Systembetrieb ohne Zugriffe von 
außen und unter Last, erzeugt mit 
SPECs CPU2006, da es ja vor allem 
um den Einfluss der Quad-Cores auf 
den Energieverbrauch geht. 

Im „kalten“ Zustand tritt der be- 
kannte unerfreuliche Effekt auf, dass 
der Server bei einem Verbrauch von 
26 W tatsächlich 123 VA Scheinleis- 
tung abfordert (Cosinus Phi 0,22, An- 
teil der Wirkleistung). Das gibt sich je- 
doch, sobald der Server seine Dienste 
aufnimmt. Beim Hochfahren kommt es 
zu Spitzen von über 320 W, der Anteil 
liegt dabei aber zwischen 0,89 und 
0,92. Unbeansprucht nimmt der Server 
rund 300 W auf und pendelt sich bei 
0,92 ein, der Anteil von Scheinleistung 
bleibt unter Volllast bei 380 W in etwa 
gleich. Für die Nutzung von acht Pro- 
zessorkernen mit 16 GByte Speicher 
den Strom bezahlen zu müssen, wie ihn 
vier Glühlampen verbrauchen, klingt 
durchaus akzeptabel. 

Nach dem Prozessorumbau des Ser- 
vers von Lynx auf zwei Dual-Core-Xe- 
on L5335 (2 GHz) wiesen die Messun- 
gen des Energieverbrauchs auf eine 


leichte Verbesserung hin: mit 270 W 
(0,87) 10 % weniger und unter Last 
330 W (0,90) eine Ersparnis von rund 
13 %. Das Runterschalten auf je einen 
aktiven Kern pro CPU - quasi ein So- 
lo-Prozessorbetrieb — brachte keinerlei 
maßgebliche Veränderung mit sich. 
Setzt man aber die Rechenleistung laut 
CPU2006 ins Verhältnis zum Energie- 
verbrauch, schneidet die LV-CPU et- 
was besser ab. Das Taktverhältnis 2,3 
zu 2 GHZ ergibt einen Faktor von 0,86, 
die Leistungseinbußen liegen aber um 
die 10 %, während der Energiever- 
brauch wie der CPU-Takt um 14 % ab- 
nimmt. Unter dem Strich ist die Low- 
Voltage-CPU effektiver. 


Positive Bilanz 
nur bei Low Voltage 


Völlig aus dem Rahmen fällt Lynx’ 
Server mit seinem Energieverbrauch 
nicht. Ein zeitgleich im Test befind- 
licher 1U-Rechner von ICO mit zwei 
Quad-Core-Opteron (Typ 2347, 1,9 
GHz) und ebenfalls 16 GByte RAM 
kam in den vier Disziplinen auf ähnli- 
che Werte: 21 W (0,30) ausgeschaltet, 
280 W (0,90) im lastfreien Betrieb und 
360 W (0,91) bei Beanspruchung. Ein 
kleineres Modell von Fujitsu-Siemens 
mit zwei Dual-Core Opteron (Typ 2220, 
2,8 GHz) und 8 GByte RAM verbraucht 
mit schlafenden Prozessoren 195 W 


mehrfach vorhanden sein müssen. 


A-TRACT 


@ Multi-Core-Prozessoren helfen Energie in der Produktion zu sparen, da im 
Unterschied zu früheren Multiprozessoren Boards, Lüfter und zusätzliche Chips nicht 


© Da sie aber mehr und vor allem schnelleren Speicher brauchen, gibt es nur geringe 
Einsparungspotenziale im Energieverbrauch. 


© Bei den Quad-Core-CPUs umgeht Intel Engpässe im Datenaustausch zwischen 
Rechenkernen und Speicher durch eine Vervielfältigung der Datenbusse. 
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Windkanal: Die 
Lüfter müssen nicht 
nur die CPUs, 
sondern auch die 
Speicherbausteine 
kühlen, denn FB- 
DIMMs strahlen 
einiges an Hitze ab. 
Der Luftschacht 
wurde für das Foto 
entfernt (Abb. 1). 


und überstieg unter Last kaum die 
230-W-Marke. 

Offensichtlich sind bei der Wahl der 
CPU keine allzu großen Einsparungs- 
potenziale gegeben, die liegen eher auf 
der Softwareseite. Multicore-Systeme 
sind wegen der Zahl der Prozessorker- 
ne und der Größe des Hauptspeichers 
prädestiniert als Plattform für virtuelle 
Maschinen. Hinzu kommt, dass sich 
Hochverfügbarkeit per Redundanz nach 
dem N+1-Prinzip herstellen lässt: Ein 
virtueller Reserve-Server reicht, um ei- 
nen der ins Trudeln gekommenen zu 
übernehmen. Zusätzliche Sicherheit bie- 
tet die Doppelung der Hardware, bei 
der die Backup-Server auf der Nach- 
barhardware installiert sind. 


Dempsey 
Wooderest 
Clovertown 


1066/1333 MHz 
8,5/10,5 GByte/s 


Up to 21 GByte/. 


Blackford 
MCH 


3 Sunrise ü 
Si I 
SAS/SATA-2 PCI-X 10 GbE 


DIB: Dual Independent Bus 

MCH: Memory Controller Hub 

GbE: Gigabit-Ethernet 

FBD: Fully Buffered Dual Inline Memory Modul [FB-DIMM) 
ESB: Embedded System Board 


Datenwege: Durch den zweifachen 
Frontside-Bus und den vierfachen 
Memory-Bus versucht Intel die 
bisherigen Bottlenecks zu umgehen 
(Abb. 2). 
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Multi-Core-Server 


Handwerk: Zum Test lieferte Lynx 
zwei Xeons in der Energiesparversion 
vom Typ L5335, die mit 40 W 
auskommen (Abb. 3). 


Bei der Rechenleistung liefern die 
Maschinen Werte, mit denen sich 
mehrere virtuelle Maschinen (VM) be- 
treiben lassen. Zwar kommt keine li- 
neare Skalierung zustande, das heißt 
acht Core liefern nur etwa die vier- 
(beim Gleitkommarechnen) bis fünf- 
fache Leistung — Ein Manko, mit dem 
Intels SMP-Systeme immer wieder zu 
kämpfen haben. Offensichtlich hat 
AMD im Bereich der Dual-Cores bisher 
die Nase vorn und kommt mit acht Ker- 
nen auf die rund siebenfache Leistung, 
wobei noch nicht zu erkennen ist, ob das 
auch für deren Quad-Core-Opterons 
(Barcelona) gelten wird. Vergleichszah- 
len von IBM und Supermicro sind bei 
der SPEC als „not compliant“ (NC), als 
nicht gültig, markiert. Die RISC-Kon- 
kurrenten Power6 von IBM oder Suns 
Sparc skalieren deutlich besser, wie 
man in den Ergebnissen der CPU2006 
unschwer nachlesen kann. 

Was aber ins Auge springt, sind die 
Unterschiede zu den von Supermicro 
bei der SPEC publizierten Ergebnissen. 
Ein Grund liegt darin, dass die Herstel- 
ler bei der SPEC gemischte 32- und 64- 
Bit-Tests und einen neueren Kernel 
(2.16.43 statt 2.16.21) verwendet ha- 
ben. Den entscheidenden Unterschied 
erkennt man aber erst beim Blick auf 


Verkittet: Die Techniker haben beim 
Zusammenbauen die Wärmeleitpaste 
wie Kitt verwendet. Solche Mengen 
sollte man tunlichst vermeiden (Abb. 4). 
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die Boards: Supermicro hat seinen 
X7DB8+ mit 16 Speicherbänken aus- 
gestattet, während das Original-Intel- 
Board nur 8 nutzt. 

An der Verarbeitung gibt es so gut 
wie keine Beanstandungen. Der Deckel 
des Rechners lässt sich nach Lösen einer 
Verriegelungsschraube leicht vom Ge- 
häuse schieben. Sämtliche Baugruppen 
sind gut zugänglich und eindeutig ge- 
kennzeichnet. Einzig die Verlegung des 
ATA-Kabels zum DVD-Laufwerk wirkt 
etwas schlampig und beim Aufbringen 
der Wärmeleitpaste auf die Prozessoren 
haben die Techniker bei Lynx arg auf die 
Tube gedrückt (siehe Abb. 4). 

Im Rechner bietet ein integrierter 
Serviceprozessor den Zugriff über ein 
separates Netz. Er stützt sich auf IPMI 
2.0 und erlaubt dem Administrator über 
Intels Remote Management Modul 
(iRMM) per Webserver den Zugriff auf 
das System. iRMM liefert eine Reihe 
physikalischer Daten, stellt Java-getrie- 
ben eine Konsole und virtuelle Medien 
(DVD/CD sowie Diskette) bereit, so- 
dass der Admin seine Arbeiten zum 
großen Teil aus der Ferne erledigen 
kann. Außerdem kann er den Rechner 
ferngesteuert hoch- und runterfahren. 


Fazit 


Für den Einsatz der neuen Quad-Core- 
Prozessoren von Intel spricht die Zahl 
der verfügbaren Rechenkerne, nicht aber 
— oder noch nicht — die Vervielfachung 
der Rechenleistung. Virtualisierte Um- 
gebungen profitieren von der Zahl der 
Cores und der Größe des Hauptspeicher. 

Bei der Energiebilanz ist es nicht die 
Hardware, die den Haupteinfluss hat, 
vielmehr entscheidet, wie der Rechner 
im tagtäglichen Gebrauch ausgelastet 
ist. Der Unterschied im Energiever- 
brauch zwischen Leerlauf und Höchst- 
belastung liegt bei fast 25 %. Bei ei- 
nem Konzept, das eine Konsolidierung 
von Servern mit unterschiedlichen 
Aufgaben in Form einer Virtualisie- 
rung verfolgt und einen hohen Nut- 
zungsgrad der Systeme erreichen will, 
stehen dem Mehrverbrauch die Ein- 


"Wertung 


©) gute Ausbaubarkeit 
© übersichtlicher Aufbau 


© schlechte Skalierung 


Ergebnisse der CPU2006 


SPECint_base2006 

12,5 

112 

BEE 17,5 
SPECint_rate_base2006 
A 60,7 
Ar 56,7. 
A 55,7 
SPECfp_base2006 

BEE 13,5 

En 12,4 

BE 15,8 


SPECfp_rate_base2006 
Be 


besser» 


54,3 
EEE 52, | 
EEE 57,2 


BEE Lynx LYSRV-SIRAB E5435 
ER Ilynx LYSRV-5IRAB 15335 
IE Supermicro X7DB8+ E5345 ' 


!Herstellerangaben laut SPEC 


sparung kompletter Rechner gegen- 
über. Das Plus bei den neuen Quad- 
Core-Servern steht vor dem großen 
Hauptspeicher und bei einem 5U- 
Racksystem den per RAID gesicherten 
Plattenvolumina. (rh) 
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Lieferumfang und Preise 


LYSRV-5U2RAB: Quad-Core-Dual-Server 


Hardware: zwei E5345 [2,3 GHz), alternativ 
15335 (2 GHz) Quad-Core-Xeon mit 

2 x 4 MByte L2-Cache, 1333 MHz FSB, 
5000p-Chipsatz, acht 2 GByte FD-DIMM, 
ECC, CL5 667 MHz; drei Fujitsu MAX, SAS, 
73 GByte, 16 MByte Cache, 15 000 U/min; 
Intel, SRCSAS1A4E, SAS/SATA, PCle, 4/4 
Kanal, RAID 0,1,5,10,50, 256 MByte Cache; 
DVD-ROM, 16x/48x, ATAPI; zwei Netzteile 
(redundant] je 830 W 


Software: Suse Linux Enterprise Server 10 
OEM [1 Jahr Upgrade Protection), DVD-Player 
PowerDVD 7; Lynx CD-Booklet 

Service: Express Exchange, zwei Jahre 
Austauschdienst 

Hersteller: Lynx, Triple Stor GmbH in Tübingen, 
www.lynx-pc.de 

Preis: ab 2982 € 
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Speichersysteme 


NAS-Cluster mit Infinibe 


Plattenschwarm 


Fred Hantelmann 


Vor allem beim High Performance Computing ist der 

Bedarf nach hohem I/O-Durchsatz groß. Dem begegnen die 
Hersteller mit dem Konzept des Clustered Storage, das neben 
der Kapazität auch die I/O-Last auf mehrere gleichberechtigte 
Knoten verteilt. Ein Neuling auf dem deutschen Markt ist der 


NAS-Hersteller Isilon. 


entralisierung von Storage und 
2 Entkopplung des Massen- 

speichers von der übrigen Sys- 
temhardware locken die geneigte 
Kundschaft mit dem Versprechen, 
Ressourcen optimal zu nutzen und ge- 
waltige Einsparungen im Betrieb zu er- 
möglichen. Gerne zeigen Hersteller und 
Berater dazu auf blockbasierte Storage- 
Virtualisierung, die SAN-Lösungen 
(Storage Area Network) implementie- 
ren. Wer die damit verbundene Investi- 
tion für eine zusätzliche SAN-Infra- 
struktur scheut, dem bietet dateibasierte 
Speicher-Virtualisierung per Network 
Attached Storage (NAS) eine Kosten- 
günstige Alternative. Konzeptionelle 
Mehrwerte von SAN-Produkten gegen- 
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über NAS, etwa Migration, Replika- 
tion, Snapshots und effizientes Disas- 
ter Recovery, zählen mittlerweile auch 
bei manchem NAS-Hersteller zum 
Leistungsumfang. 

Sogar in Sachen Durchsatz sieht sich 
die NAS-Fraktion gegenüber der SAN- 
Welt inzwischen als gleichwertig oder 
gar überlegen. Mit dem Argument des 
minimalen Aufwands bei der Erstin- 
stallation und freier Skalierbarkeit im 
laufenden Betrieb wollen die Vertreter 
der dateibasierten gegenüber der block- 
basierten Speicherressourcenverteilung 
schließlich das bessere Preis-Leistungs- 
Verhältnis bieten. 

Storage-Cluster oder genauer Clus- 
tered Storage lautet die Schlüsseltechnik, 


mit der NAS-Hersteller diesem Markt 
einen neuen Charme verleihen wollen. 
Anstelle eines einzelnen NAS-Kopfes 
wie bei traditionellen NAS-Servern 
stellen NAS-Cluster mehrere Zugänge 
zum zentralen Speicher in das Netz- 
werk, und zwar je einen pro Knoten. 
Der Durchsatz vom und zum Speicher 
skaliert dabei theoretisch — laut Herstel- 
lern außerdem praktisch - linear über 
die Anzahl der Speicherknoten, wenn 
auch nur agglomeriert. iX hat einen 
NAS-Storage-Cluster des mit Hauptsitz 
in Seattle ansässigen Herstellers Isilon 
gründlichen Tests unterzogen. 

Minimalanforderung für einen 
NAS-Cluster mit Storage Appliances 
der Isilon sind drei baugleiche 1-U- 
oder 2-U-Module mit je vier oder 
zwölf SATA-Festplatten und damit ei- 
ner Speicherkapazität von 2 bis 12 
TByte pro Box. Das 1-U-Einstiegsmo- 
dell IQ 200 kann maximal 24 Knoten 
und damit 43 TByte Bruttokapazität zu 
einem globalen Dateisystem bündeln. 

Die 2-U-Module mit jeweils 1,92, 
3,6, 9 oder 12 TByte verkraften ma- 
ximal 95 gleiche Partner, die drei grö- 
ßeren Modelle IQ 6000, 9000 und 
12000 können zusätzliche Verstärkung 
durch Erweiterungs-JBODs (Just a 
Bunch of Disks) der EX-Familie nut- 
zen. Das obere Ende der Isilon-Pro- 
duktlinie bildet der IQ/EX 12000- 
Cluster mit 96 Basisstationen IQ 
12000 und daran per SAS gekoppelten 
Erweiterungen EX 12000, der stolze 
2,3 PByte Bruttokapazität zu einem 
einzelnen Dateisystem bündelt. 

Während die 1-U-Einstiegslösung 
IQ 200 sämtliche, für die vertikale 
Verteilung der Daten im Cluster erfor- 
derliche Kommunikation über Gigabit 
Ethernet (GE) abwickeln muss, steht 
den übrigen Modellen des Herstellers 
dafür Infiniband 4x zur Verfügung. 
Bei letzteren 2-U-Appliances sind die 
Frontend-Ethernet- sowie die Intra- 
cluster-Infiniband-Ports und die Netz- 
teile außerdem doppelt ausgelegt, so- 
dass kein Single Point of Failure 
vorliegt. 

Ins iX-Labor lieferte Isilon drei 
„Plattform-Knoten“ vom Typ IQ 6000. 
Jedes System verfügt über zwei 500- 
Watt-Netzteile. Die Leistungsaufnahme 
im Betrieb beträgt laut Hersteller ty- 
pisch 2 und maximal 3,5 Ampere, die 
Abwärmeleistung beziffert Isilon mit 
2400 BTU/h (British Thermal Units per 
hour). Montage- und Einbauanleitun- 
gen waren Bestandteil der Teststellung, 
das Handbuch stand nur als PDF zur 
Verfügung. Das auf FreeBSD-Wurzeln 
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basierende Betriebssystem OneFS war 
in der Version 4.7.1.8 installiert. 

Basis der IQ 6000 Appliances bildet 
ein Tyan-5360-Mainboard, bestückt mit 
zwei 3,2 GHz schnellen Xeon-CPUs 
und 4 GByte RAM. Weitere 512 MByte 
NVRAM dienen der sicheren Verwah- 
rung des Journals zum Dateisystem, so- 
dass bei Bedarf ein komplettes Zurück- 
setzen der Hardware auf den ersten 
Auslieferungszustand ab Werk gelingt. 
Über den 36-Port-SAS-Edge-Expander 
VSC7154C von Vitesse steuert ein LSI- 
Logic-SAS1068-Controller die 12 SA- 
TA-Platten und stellt zugleich über drei 
externe SAS-4x-Ports die Schnittstelle 
für Erweiterungs-JBODs bereit. 

Untereinander kommunizieren die 
Nodes über die Infiniband-4x-HCAs 
(Host Channel Adapter) Mellanox 
MT?23108. Die Kommunikation nach 
außen steuern onboard befindliche 
GE-Chips vom Typ Intel e1000. Ein 
Front-Panel-LCD gibt Auskunft über 
den Cluster-Status. Zusätzlich erlaubt 
das LCD über vier als Pfeile ausgelegte 
Tasten eine menügestützte Konfigura- 
tion eines Node. 

Logisches Zentrum der Isilon-Produk- 
te bildet das aus eigener Entwicklung 
stammende und patentierte Betriebssys- 
tem OneFS. Letzteres beansprucht für 
sich, die drei klassischen Verfahren 
geclusterter Speicher „Zweiwege-Aus- 
fallsicherung“, „aggregierter Namens- 


A-TRACT 


@ |silon IQ 6000 ist ein skalierbarer 
NAS-Cluster für NFS-, CIFS-, HTTP- 
und FTP-Clients. 


@ Im Cluster vertikal verteilte Daten 
gewähren die Datenintegrität 
auch bei gleichzeitigem Ausfall 
mehrerer Cluster-Nodes. 


@ Mit jedem zusätzlich integrierten 
Knoten wächst der Gesamtdurch- 
satz linear. 
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Vom unter dem Infiniband- 
HCA sitzenden SAS-Board 
führen 12 SATA-Kabel zur 

Backplane und drei SAS-Ax- 
Ports nach draußen (Abb. 1). 


raum“ und „verteiltes Dateisys- 
tem“ in einem einzelnen Produkt 
zu liefern. Intern erzeugt es ein 
Software-RAID mit über mehre- 
re Knoten verteilten Daten. 

Nach außen präsentiert One- 
FS die Hardware als unitäres Da- 
teisystem, auf das im Netz befindliche 
Rechner via CIFS, NFS (v3, UDP oder 
TCP), FTP oder HTTP zugreifen kön- 
nen. Intern steuert OneFS die Daten- 
verwahrung über alle vorhandenen 
Knoten: redundant, als Stripe-Set und 
mit extra gesicherten Paritätsdaten. 

OneFS bestückt die vorhandene 
Plattenkapazität mit 8-KByte-Blöcken. 
Jeweils 16 davon fasst es zu einem 
Streifen zusammen und verteilt Da- 
teien mit mehr als 128 KByte Spei- 
cherbedarf vertikal im Cluster, also 
auf verschiedene Knoten. Kleinere 
Dateien liegen vollständig redundant 
im Dateisystem. 

Mit dieser Herangehensweise ist der 
Speicher nicht nur gegen den Ausfall 
einer einzelnen Platte stabil; er garan- 
tiert die Datenintegrität auch bei Aus- 
fall eines Storage-Knotens. Für den 
gesamten Cluster, Verzeichnisse oder 
Dateien per Flex Protect konfigurierbare 
Sicherheitsstufen erhöhen den Schutz 
vor Datenverlust bis zur Stufe N+4, für 
die mindestens neun Knoten erforder- 
lich sind und die eine Datenintegrität 
selbst bei gleichzeitigem Ausfall von 
vier Appliances gewährt. 

Eine erste Inbetriebnahme gelang be- 
reits nach wenigen Minuten: Die Wi- 
zard-gestützte Grundkonfiguration nach 
dem ersten Booten beschränkt sich auf 
die Angabe von Passwörtern für Root 
und den Administrator, dem gewünsch- 
ten Systemnamen, der Adressbereiche 
für internes und externes Netz, Gateway, 


Nameserver und Uhrzeit nebst Zeitzone. 


Einzige Voraussetzung: Der serielle Port 
des ersten Systems ist mit einem Termi- 
nal zu verbinden, das eine Transferrate 
(Baudrate) von 115200 bps unterstützt. 
Windows- oder Linux-Notebooks mit 
Hyperterm oder Minicom sowie seriel- 
ler Schnittstelle leisten das Gewünschte. 


Prinzip Baukastensatz 


Weitere Appliances integriert der Admi- 
nistrator wahlweise auf Seite des Kno- 
ten, terminalgestützt über die Komman- 
dozeile oder über das frontseitige LED 
Control-Panel. Alternativ und dabei 
komfortabel gelingt die Cluster-Erweite- 
rung auch per HTTPS-Zugriff auf die 
externe Adresse des bereits konfigurier- 
ten Node. Technisch bewirkt das Erwei- 
tern um einen Knoten ein Vergrößern 
des Dateisystems. Im Test beanspruchte 
diese Prozedur weniger als eine Minute, 
führte selbstverständlich nicht zur Unter- 
brechung der in Nutzung befindlichen 
Dateidienste und hatte keinen spürba- 
ren Einfluss auf den Datendurchsatz. 
Auch wenn die Administration jedes 
einzelnen Systems und übergreifend des 
gesamten Clusters mit immerhin 143 
Kommandos möglich ist, alltäglich be- 
nötigte Konfigurationen bewältigt der 
Systemverwalter über das Web-GUI. 
Anlaufpunkt dazu ist prinzipiell jede 
externe Adresse des Clusters. Ergänzend 
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! hsı.on 


Cluster 


Speichersysteme 


lässt sich das gesamte System auch über 
eine einzelne virtuelle IP-Adresse an- 
sprechen, dazu aber später mehr. 

Cluster, Nodes, File System, Modules 
und Tools lauten die fünf Kategorien, die 
als Menü-Überschriften Zugang zu 
den Konfigurationsmöglichkeiten und 
den Zustandsanzeigen des Systems 
liefern. Hervorzuheben ist die inte- 
grierte kontextsensitive Hilfefunktion, 
die zu jedem Bildschirminhalt in ei- 
nem neuen Fenster die zugehörige Sei- 
te des HTML-formatierten Handbuchs 
zum System öffnet. Das IQ WebHelp 
genannte Nachschlagewerk verfügt über 
einen Index nebst Glossar und ist da- 
durch schon beinahe vergleichbar mit 
typischen, gemäß compressed-HTML- 
formatierten CHM-Dokumenten. 

Im Bereich der Statusanzeigen hat der 
Administrator Zugriff auf eine Cluster- 
Darstellung mit links einem Histogramm 
zum Netzdurchsatz der letzten Stunde 
und rechts einer Tabelle mit nach Kno- 
ten aufgelisteten aktuellen Durchsätzen 
sowie vorhandener und genutzter Spei- 
cherkapazität. Darunter zeigt ein zweiter 
Block den Status der Datenintegrität und 
die zuletzt dazu ausgeführten Aktionen, 
etwa Start und Ende des jüngsten Auto- 
balance (Verteilen der Daten im Clus- 
ter). Eine Tabelle mit Rollbalken zeigt 
Ereignisse an, etwa abgeschlossene 
Neukonfigurationen oder Ausfall eines 
Knotens. Diese kann das System auf 
Wunsch nach Datum, Knotenkennung 
oder Text der Nachricht sortieren. 


Unterschiedliche 
Meldeverfahren 


Wer Details zu einer konkreten Appli- 
ance einsehen möchte, dem liefern die 
Unterpunkte des Node-Menüs detaillier- 


Nodes | File System | Modules | Faals 


Die SAS- (rechts mittig) und Infiniband-Boards (rechts oben) sind per Reiser- 
Card horizontal gelegt und übereinander angeordnet (Abb. 2). 


te Aussagen. Angezeigte Node-Informa- 
tionen betreffen den allgemeinen Hard- 
warestatus der Systemeinheit (Uptime, 
Hardwaredaten zu CPU, RAM, V/O-Ge- 
räten et cetera), Netzdaten (lokale IP- 
Adressen, Kapazität und Durchsatz) und 
Status der assemblierten Festplatten. 
Von dort aus kann der Systemverwal- 
ter einzelne Festplatten vom Cluster 
abmelden, etwa für Wartungszwecke, 
oder neue Festplatten hinzufügen. Als 
weiteres Detail erzeugt das System auf 
Wunsch eine Liste der Clients, die auf 
diese Knoten CIFS- oder NFS-Shares 
zugreifen. 

Wer mit welcher Zugriffsart Daten 
vom Cluster beziehen und/oder dort 
hinterlegen darf, ist im Block der File- 
System-Menü-Hierarchie anzugeben. 
Zunächst sind jeweils Grundkonfigura- 
tionen für NFS, CIFS, FTP und HTTP 
einzeln festzulegen. Entsprechend der 
unterschiedlichen Protokolltypen ist die 
Anzahl dazu erforderlicher Mindestanga- 
ben unterschiedlich: Bei NFS genügt die 
Festlegung asynchron oder synchron. 
Für CIFS unterstützte Betriebsarten sind 
Local-User-, Anonymous- und Domä- 
nen-Modus, wobei je nach gewünsch- 
ter Methode weitere Angaben zu Be- 
nutzernamen, Passwort, Dömanenname 
und so fort zwingend anzugeben sind. 

Authentifizierungsschemata kann der 
Cluster lokal beherbergen oder von ei- 


Zur Verwaltung 
des gesamten 


[3 


NODE PERFORMANCE 
aacity: 17298 us Sara 


NODE STATUS 


MORE DETAILS 
Mode cheat fit 
Hartware rtat 


Clusters genügt 

eine Management- 
Session zu einem der 
Nodes. Das auf 
jeden Knoten 
anzutreffende Web- 
Interface gibt 
Auskunft über den 
Zustand von Cluster, 
Nodes, Dateisystem 
und Modulen und 
reicht die 
Konfigurations- 
befehle weiter 
(Abb. 3). 


nem externen System abrufen, sofern es 
Namensdienste gemäß NIS, LDAP oder 
Active Directory bereitstellt. Lokale Be- 
nutzer und Gruppen verwaltet das Sys- 
tem in BSD-üblicher Manier, und zwar 
parallel auf jedem Knoten des Clusters 
mit Einträgen in den zuständigen Da- 
teien passwd, master passwd und group 
unterhalb /erc und automatischem Anle- 
gen eines Heimatverzeichnisses /ifs/ 
homel/<user>. Entsprechend erhalten lo- 
kal registrierte Anwender per ssh Shell- 
Zugriff auf jede Appliance - leider auch 
den Zugang zum Wurzel-Verzeichnis. 

NFS-Freigaben erstellt der Admi- 
nistrator unterhalb /ifs, optional zuzüg- 
lich einer Liste mount-berechtigter 
Clients. Voreinstellung ist eine leere 
Zugriffsliste (jeder darf das Verzeich- 
nis binden) und rw als Zugriffsrecht. 
Eine Mapping-Funktion konvertiert 
Benutzer-IDs, und zwar entweder für 
Root oder alle anderen Benutzer. No- 
body hat die ID 65534 — RHEL vergibt 
dafür 99. Im Test trat noch folgender 
Effekt auf: Per touch oder mkdir ange- 
legte Dateien oder Ordner erbten stets 
die Gruppenzugehörigkeit des überge- 
ordneten Verzeichnisses. 

Das Erzeugen von CIFS-Freigaben 
unterstützt ein kleiner Share Folder Wi- 
zard, der auf bis zu fünf Seiten Namen 
und Pfad des Shares sowie Zugriffsrech- 
te erfragt. Intern handhabt OneFS den 
Zugriff durch Windows-Clients über 
Access-Control-Listen. Der Mecha- 
nismus ist Samba-basiert, ergänzt um 
zahlreiche Zusätze, die für den Einsatz 
im OneFS-Cluster erforderlich sind. 


Mehrwertdienste optional 


Wie bereits erwähnt, stellt die System- 
verwalterin die Datenintegrität im 
Cluster global oder auf Objektebene 
per Flex Protect bis zum Grad N+4 
ein. Die Nettokapazität des Clusters 
liegt daher stets unterhalb des Brutto- 
volumens. Auf den drei Knoten der 
Testlieferung belegten 1 GByte Nutz- 
daten in der kleinsten Sicherheitsstufe 
1,5 GByte Plattenplatz. Auskunft über 


iX 1/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


den belegten und Umfang der Nutzda- 
ten erzeugt das du-Kommando der 
Gnu-Utilities: du —k liefert benutzten 
Speicherplatz, du —k --apparent-size 
die enthaltenen Nutzdaten. 

Mehrwertdienste oberhalb der bis- 
her aufgezeigten Filer-Services von 
Isilon leisten zusätzliche Softwaremo- 
dule, die der Kunde einzeln lizenzie- 
ren muss. Das Spektrum der Zusatz- 
funktionen deckt Anforderungen nach 
Replikation, Hierarchical Storage Ma- 
nagement (HSM), Quotierung, Snap- 
shots und die bereits weiter oben an- 
gekündigte Netzwerkvirtualisierung in 
erweiterter Form ab. 

Smart Connect stellt in seiner 
Grundversion einen DNS-Server, der 
nach außen eine virtuelle IP-Adresse 
präsentiert und auf eingehende Anfra- 
gen gemäß Round-Robin-Technik die 
IP-Adresse des jeweils nächsten „freien“ 
NAS-Kopfes zurückliefert. Smart Con- 
nect Advanced berücksichtigt zusätz- 
lich CPU-Auslastung, abgeforderten 
Durchsatz und Anzahl bereits verbun- 
dener Clients bei der Identifikation des 
„besten“ Kopfes. Dynamisches NFS- 
Failover und -Failback sowie Load 
Balancing sind weitere Merkmale des 
Add-ons. 

Geht es um Replikationen, etwa 
Spiegelung in einen getrennten Brand- 
abschnitt, dann liefert SyncIQ die benö- 
tigten Voraussetzungen. Es soll den 
Kunden beim Disk-to-Disk-Backup, Di- 
saster Recovery und dezentral verteil- 
ten Content unterstützen. MigrationIQ 
hilft beim Aufbau von Multi-Tiered- 
Speicherhierarchien, indem es auto- 
matisiert zu festgelegten Zeiten Da- 
teien oder Verzeichnisse auf einen 
Hintergrundspeicher migriert. 

SnapshotIQ ermöglicht das Anle- 
gen einer laut Hersteller unbegrenzten 
Anzahl von Snapshots zu Dateien und 


Verzeichnissen im Dateisystem mit ei- 
ner Obergrenze von 1024 Snapshots pro 
Verzeichnis. Neben der traditionellen 
Copy-on-Write-Technik COW imple- 
mentiert OneFS zusätzlich eine Point-in- 
Time-Methode, die bei großen Dateien 
einen spürbaren Performance-Schub lie- 
fern soll. Smart Quotas schließlich ist 
Isilons Lösung zum benutzerspezifi- 
schen Kapazitätsmanagement. Unter an- 
derem benachrichtigt es einen Anwen- 
der, dass er seine Kapazität erschöpft 
hat, stellt ihm aber auch einen Puffer be- 
reit, sodass das Überschreiten der Quo- 
ta-Grenze kein sofortiges Schreibverbot 
nach sich zieht. 

Laut Isilon leistet ein IQ 6000 ba- 
sierter Cluster pro NAS-Kopf einen 
NFS-Durchsatz von 80 MByte/s 
schreibend und 105 MByte/s lesend 
bei 3000 V/O-Operationen/s. Im iX-La- 
bor durchgeführte bonnie-Benchmarks 
bestätigten diese Werte mit kleinen 


3 x IQ 6000 mit je 12 x 500-GByte-SATA- 
HDs (gesamt 18 TByte raw, 11,64 TByte netto 
im N+1 Protection Level], 1 x 3,2-GHz-Xeon- 
CPU, A GByte RAM, 512 MByte NVRAM, 

2x GE (Intel e1000), Dual-Port-Infiniband-4x- 
HCA Mellanox MT23108, 12 x SAS intern 
und 3 x SAS-4x extern (LSILogic-SAS1068 
mit Vitesse VSC7154C) 

Preis: 43 502 Euro 


3 x OneFS$ Version 4.7.1.8 mit Autobalance- 
Software, FlexProtect, NFS, CIFS, 
HTTP/WebDav, FTP, NDMP 

Preis: 38 542 Euro 

1 x IQSpare-Kit mit 500-GByte-SATA-HD 
Preis: 3350 Euro 

2x Flextronics Infiniband Switch mit 8 Ports 
Preis: 5003 Euro 

6x 1-Meter-CX4-Kabel für Infiniband 

Preis: 763 Euro 


Abweichungen nach oben und unten. 
Die Ergebnisse deuten aber darauf hin, 
dass sie eher die Grenzen der ange- 
bundenen NFS-Clients markierten. 
Speziell etwas ältere PCs mit 32-Bit- 
CPU und Knoppix, Opensuse oder 
RHEL 5.1 konnten der IQ 6000 prak- 
tisch nur die Hälfte ihrer Leistung ent- 
nehmen. 


Fazit 


Isilon liefert mit der IQ 6000 eine ska- 
lierbare Clustered-Storage-Lösung für 
NAS-Anwender, die aufgrund ihrer 
Merkmale ein performantes Produkt 
für große unstrukturierte Datenmen- 
gen bildet. Pro Single-Stream hand- 
habt das System NFS-Durchsätze bis 
zur theoretischen GBit-Übertragungs- 
rate, und zwar an jedem NAS-Kopf. 
Auch wenn es die Erwartungen V/O- 
durstiger HPC-Anwender nicht direkt 
befriedigen kann, im Einsatz für zen- 
tralen Dateiservice mit vielen ange- 
bundenen Clients zeigt es messbare 
Vorteile. (sun) 
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& einfache Administration 
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©® hoher agglomerierter Durchsatz 
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REPORT 


Display-Technik 


4K-Digitalkino-Installation 


im Cineplex in Münster 


Quadratur 
des Kinos 


Dieter Michel 


HDTV ist für zu Hause, AK kommt ins Kino. 

Die Bildqualität des neuen AK-Digitalkino-Formats sorgt dafür, 
dass die Besucher des Cineplex in Münster auf allen Plätzen 
im Saal ein gleichbleibend hochaufgelöstes Bild ohne 


Artefakte sehen. 


eimkino ist heutzutage in aller 
Hl Munde, speziell seitdem hochauf- 

lösende Wiedergabegeräte in er- 
schwingliche Preisregionen gekommen 
sind. „HD Ready“ ist bei LCD- und 
Plasma-Fernsehern eigentlich schon 
wieder out — heute muss es bei Neuan- 
schaffungen schon „Full-HD“ sein, al- 
so eine Auflösung von 1920 x 1080 
Bildpunkten. Hochauflösende Projekto- 
ren für den Heimkinobereich sind in be- 
zahlbaren Ausführungen ebenfalls zu 
haben, und mit der Blu-ray Disc und 
HD-DVD stehen auch passende Distri- 
butionsmedien für Kinofilme zur Ver- 
fügung, sodass Cineasten das heimi- 
sche Wohnzimmer angemessen für den 
Kinoabend ausstatten können. 

Fragt sich, ob überhaupt noch je- 
mand ins Kino geht, und wenn ja, wa- 
rum eigentlich? Bietet es außer Popcorn 
einen qualitativen Vorteil gegenüber 
der bequemen Heimkino-Installation? 
Diese ketzerischen Fragen kann man 
durchaus mit „ja“ beantworten, selbst 
wenn gelegentlich Kinovorstellungen 
mit unscharf projizierten 35-mm-Kopien 
in schlechter Qualität einen manchmal 
zweifeln lassen. 

Aber es gibt ja das Digitalkino, bei 
dem keine Filmkopien klassischen Zu- 
schnitts mehr Verwendung finden. In 
diesem Bereich hat Sony kürzlich einen 
spürbaren Schritt nach vorne getan und 
im Cineplex in Münster eines der ersten 
Digitalkino-Projektionssysteme in 4K- 
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Auflösung installiert. Zur Einweihung 
der Installation hatten Sony und die 
Cineplex-Betreiber Mitte November 
zu einer Pressepräsentation eingela- 
den, in deren Rahmen der Hersteller 
nicht nur das CineAlta-4K-Projek- 
tionssystem vorstellte, sondern es den 
Teilnehmern auch in einem etwa halb- 
stündigen Screening ermöglichte, die 
Bildqualität des neuen 4AK-Digitalkino- 
Formats im Vergleich mit der bisheri- 
gen 2k-Techik sowie analogem Film- 
material zu sehen und zu beurteilen. 


Gründe für 


einen neuen Standard 


Digitale Kino-Projektionssysteme gibt 
es schon seit einigen Jahren. Derzeit 
ist in diesem Bereich das sogenannte 
2K-Format mit einer Auflösung von 
2048 x 1080 Bildpunkten Standard. 
Eine Weiterentwicklung dieser Norm 
hat nicht nur ein allgemeines „höher, 
schneller, weiter“ — also eine Verbes- 
serung um der Verbesserung selbst 
willen - zum Anlass, sondern wird maß- 
geblich von zwei Faktoren angetrieben. 

Zum einen bietet der bisherige 2K- 
Digitalkinostandard eine kaum höhere 
Auflösung als das digitale Fernsehen 
HDTV. Im Vergleich präsentiert das 
2K-Format ein um gerade 128 Pixel 
breiteres Bild als HDTV bei gleicher 
Bildhöhe in Pixeln. Für viele Kinofilme 


mag das zwar in der Praxis ausrei- 
chen, ein schlagendes Argument für 
den Gang ins Kino anstelle des heimi- 
schen HTDV-Guckens ist das allerdings 
nicht — zumal in Zukunft immer mehr 
potenzielle Kinogänger ein HTDV-Ge- 
rät ihr Eigen nennen werden. 

Darüber hinaus hat die Digital Ci- 
nema Initiative (DC), eine Vereini- 
gung mehrerer Hollywood-Filmstu- 
dios (www.dcimovies.com), für die 
Entwicklung eines neuen Standards für 
das Digitalkino oberhalb von 2K hand- 
feste Gründe. Diese beziehen sich so- 
wohl auf die Wahrnehmungsfähigkeiten 
des menschlichen Auges als auch auf 
die praktischen Aspekte der hochwer- 
tigen Wiedergabe der verschiedenen, 
kinoüblichen Breitbildformate. 

Der wahrnehmungsbezogene Ansatz 
will eine Projektion ohne sichtbare Pixel 
ermöglichen. Wer im Kino auf den vom 
Blickwinkel her optimalen Plätzen - et- 
wa in der Saalmitte oder weiter hinten — 
sitzt, sieht auch beim gegenwärtigen 
2K-Standard keine Digitalisierungsarte- 
fakte. Dasselbe gilt übrigens häufig auch 
für herkömmliche Filmkopien, denn für 
viele Spezialeffekte dreht man Szenen 
zwar zum Teil analog auf Film, digitali- 
siert sie aber im Rahmen der Postpro- 
duktion für die Verarbeitung mit CGI- 
Effekten (Computer Generated Imagery) 
und belichtet das Ergebnis auf speziel- 
len Kinofilmbelichtern wieder aus — und 
zwar in 2K-Auflösung. Bei normalem 
35-mm-Kinofilm geht damit keine 
Qualitätsminderung einher, weil hier 
das 35-mm-Material und der gängige 
Kinofilmprojektor die qualitätsbegren- 
zenden Komponenten sind. 

Wer bei einer 2K-Projektion im Ki- 
no eher weiter vorn sitzt — das konnte 
man beim Screening in Münster gut 
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erkennen — kommt zwar immer noch in 
den Genuss einer sehr guten Bildqua- 
lität, speziell im Vergleich mit der ana- 
logen Filmkopie. Man kann aber an 
kontrastreichen Kanten gelegentlich 
durchaus in geringem Umfang Pixel 
und Treppchen erkennen, vor allem 
wenn man im Rahmen eines Qualitäts- 
vergleichs besonders darauf achtet. 

Der Ansatz der DCI besteht darin, 
die Bildauflösung so hoch zu wählen, 
dass in einem sinnvoll bestuhlten Kino- 
saal auf praktisch allen Plätzen die Pi- 
xel auf der Leinwand so klein erschei- 
nen, dass das menschliche Auge sie 
nicht mehr als einzelne Bildpunkte 
wahrnimmt. Das projizierte Bild er- 
scheint dann auf jedem Platz im Kino 
gleichermaßen scharf. 

Als Faustregel für das Auflösungs- 
vermögen des menschlichen Auges gilt, 
dass zwei benachbarte Objekte nicht 
mehr separat gesehen werden, wenn der 
Winkel zwischen ihnen kleiner ist als ei- 
ne Bogenminute (1/60 Grad). Bezogen 
auf die Bildhöhe der Leinwand, die ei- 
ne Kinoprojektion unabhängig vom Sei- 
tenverhältnis des Films (Standardformat, 
Breitwand, Cinemascope et cetera) in 
der Regel voll ausnutzt, liegt demnach 
der Betrachtungsabstand, aus dem 
man die Einzelpixel nicht mehr sieht, 
beim circa 1,6-Fachen der Bildhöhe. 
Bei einer für die gebräuchlichen Kino- 
filmformate bis Cinemascope geeigne- 
ten Kinoleinwand mit einer nutzbaren 
Bildfläche von beispielsweise 15 x 6,3 
Meter würde man bei einer 4K-Auflö- 
sung bereits aus einem Abstand von 
10 Metern die Bildpixel nicht mehr 
auflösen können. 


Projektion in 
verschiedenen Varianten 


In der Praxis ist die nutzbare Sehentfer- 
nung noch deutlich geringer, weil man 
dank der von Sony eingesetzten bildge- 
benden Projektionstechnik praktisch 


Sony 
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Neben einem genügend leistungsfähigen Projektor benötigt man für die 
Vorführung eines digitalen Kinofilms diverse weitere Komponenten, die aus 
Sicherheitsgründen in einer abgeschlossenen Einheit untergebracht sind (Abb. 1). 


kein Pixelraster mehr erkennen kann 
(„Fliegengittereffekt‘“ bei vielen LCD- 
Projektoren). Sony bezeichnet die beim 
4K-Projektor SRX-R110 verwendete 
Technik als „Silicon X-Tal Reflective 
Display“ (SXRD). Vom Funktionsprin- 
zip her handelt es sich um ein LCoS- 
Display (Liquid Crystal on Silicon), das 
sich im Vergleich zur LCD-Technik 
durch einen besonders hohen Füllfaktor 
von 92 % und extrem schmale Übergän- 
ge von nur 35 um zwischen den einzel- 
nen Pixeln bei einem Pixelraster von 
8,5 um auszeichnet. Dies ermöglicht der 
spezielle Aufbau des reflektiv arbei- 
tenden SXRD-Panels, bei dem die An- 
steuerelektronik hinter der Flüssigkris- 
tallschicht liegt und nicht wie bei 
transmissiven LC-Displays im durch- 
leuchteten Bereich des Panels unterge- 
bracht werden muss. Daher sind die 
Pixelübergänge im projizierten Bild 
kaum sichtbar. 

Die native Auflösung eines 4K-Pro- 
jektors beträgt 4096 x 2160 Bildpunk- 
te. Das sind nicht doppelt, sondern 
gleich rund viermal so viele Pixel wie 
bei 2K. AK ist demnach nicht 2 x 2K, 
sondern 2K zum Quadrat — in der Foto- 
branche würde man da von 8,8 Mega- 
pixeln sprechen. Der Vorteil der ho- 
hen Auflösung ist, dass auch die 
Wiedergabe von Filmen im Cinemas- 
cope-Format ohne Abstriche bei der 
Detailtreue erfolgt. 


A-TRACT 


© Die Betreiber des Münsteraner Cineplex-Kinos haben seit November Sonys Digital- 
kino-Projektionssystem SRX-R 110 installiert. 


© Der hochauflösende AK-Projektor sorgt dafür, dass die Bildqualität gleichbleibend 
gut ist, egal von welchem Sitz aus der Kinobesucher den Film sieht. 


© Bei dem System handelt es sich nicht um einen Projektor im herkömmlichen Sinne, 
sondern eher um einen Computer mit Objektiv. Unter anderem enthält dieser einen 
Einsteckplatz für eine Festplatte mit dem verschlüsselten Film. 
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Cinemascope hat ein Seitenverhält- 
nis von 2,39:1 — bei voller Ausnutzung 
der Bildbreite zeigt der 4K-Projektor 
4096 x 1714 Bildpunkte, der 2K-Pro- 
jektor dagegen nur 2048 x 857. Zum 
Vergleich: Das normale PAL-Video- 
format hat 576 Linien (Bildformat 
768 x 576), da sind 857 Linien nicht so 
furchtbar viel mehr. 

Das 4K-Format bietet also nicht eine 
insgesamt höhere Pixelzahl, sondern 
verfügt speziell bei Breitbildformaten 
über mehr Reserven bei der Auflösung. 
Die DCI-Spezifikation sieht übrigens 
vor, dass sämtliche Bildformate so ska- 
liert werden, dass sie das Panel-Format 
in mindestens einer Richtung voll aus- 
nutzen. Damit das Bild immer genau auf 
die Leinwand passt, muss der Projektor 
ein motorisch gesteuertes Zoomobjektiv 
haben, das die Bildhöhe automatisch 
passend zum Bildformat einstellt — die 
Bildbreite begrenzen dann die im Kino 
ohnehin vorhandenen verstellbaren Vor- 
hänge (Caches). 


Wie der Film in 
den Projektor kommt 


Die entscheidende Frage beim Digital- 
kino ist: Wie kommt der Film in den 
Projektor? Durch die Digitalisierung 
spart man die teuren und unhandlichen 
Filmkopien, die in mehreren Teilen an- 
geliefert und für die Vorführung erst zu- 
sammengeklebt werden müssen. 

Beim digitalen Kino kommt der Film 
auf Datenträger, und zwar in der Regel 
auf einer Wechselfestplatte in einem gut 
geschützten Transportköfferchen. Von 
dieser Disc kann aber nicht einfach so 
vorgeführt werden, denn erstens muss 
das Speichermedium die benötigten Da- 
tenraten hergeben, und zweitens ist der 
Film verschlüsselt. 

Für die Filmstudios und mithin das 
DCI-Konsortium ist besonders der 
zweite Punkt von Bedeutung, denn 
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Display-Technik 


nichts lässt sich leichter und schneller 
kopieren als eine Festplatte — dafür ist 
sie ja geradezu gemacht. Ohne weitere 
Schutzmaßnahmen könnten Unbefugte 
schnell mal eine Kopie ziehen und hät- 
ten quasi ein Master zur Verfügung, auf 
dessen Basis sich problemlos eine ille- 
gale „Zweitverwertung“ aufbauen ließe. 

Aus diesem Grund setzt man für 
die Kodierung der Video- und Audio- 
daten auf eine starke Verschlüsselung 
nach FIPS 140-2 Level 3. Die ameri- 
kanischen Federal Information Pro- 
cessing Standards (FIPS) definieren 
Voraussetzungen, die Sicherheitslö- 
sungen erfüllen müssen, um für den 
Schutz vertraulicher Daten in Regie- 
rungsbehörden der USA und Kanada 
zugelassen zu werden. FIPS 140-2 be- 
schreibt Anforderungen an Kryptomo- 
dule, die zum Beispiel bei VPN-Lö- 
sungen oder Chipkarten zum Einsatz 
kommen. Definiert werden insgesamt 
vier Sicherheitsniveaus, von denen 
der erwähnte Level 3 auch die Mani- 
pulationssicherheit des physischen 
Zugriffs fordert. 

Für die Projektion eines digitalen 
Kinofilms benötigt man also nicht nur 
einen passenden Projektor, sondern 
außerdem einen hinreichend großen 
und schnellen (Festplatten-)Datenspei- 
cher, ein Entschlüsselungsmodul für 
die Dekodierung der verschlüsselten 
Festplatteninhalte, das den Anforde- 
rungen der FIPS 140-2 Level 3 genügt, 
sowie einen Image Media Block (IMB) 
mit JPEG2000-Decoder für die kom- 
primierten Videodaten. Am Ende die- 
ser Verarbeitungskette wird dem Pro- 
jektor das entschlüsselte Datensignal 
über eine LVDS-Verbindung (Low 
Voltage Differential Signaling) zuge- 
führt. Dabei gilt es zu verhindern, das 
jemand den Datenstrom irgendwie um- 
leitet. Der IMB ist darum auch für die 
Dekodierung der verschlüsselten Au- 
diodaten sowie eine forensische Mar- 
kierung zuständig, mit deren Hilfe von 
der Leinwand abgefilmte Kopien ein- 
deutig einem Serverzertifikat, mithin 
einem bestimmten Projektor und einer 
Tageszeit, zuzuordnen sind. 

Aufgrund der hohen Sicherheitsan- 
forderungen ist das gesamte Projektions- 
system als abgeschlossene Einheit aus- 
gelegt. In dem darin untergebrachten 
Serverrack befinden sich der Image 
Media Block, ein Screen Management 
System (SMS)/Sicherheitsserver auf 
Linux-Basis mit Hardware-Sicherheits- 
modul entsprechend FIPS 140-2, ein 
2 TB-RAID-Array, ein Embedded PC 
für das GUI des Filmvorführers sowie 
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Eine auf einem externen Rechner installierte Software koordiniert die Kino- 
vorführung und kombiniert den Haupffilm mit Trailern und Werbung (Abb. 2). 


eine UPS (Abbildung 1). Das Gehäuse 
ist mit Sensoren ausgestattet, die Mani- 
pulationen erkennen und bei einem un- 
berechtigten Zugriff, etwa durch Öff- 
nen des Gehäuses, alle gespeicherten 
Schlüssel löschen. 

Für die Ablaufplanung einer Vorfüh- 
rung, beispielsweise die Kombination 
des Hauptfilms mit Trailern und Wer- 
beclips, ist eine Software auf einem ex- 
ternen Rechner zuständig, der mit dem 
Projektor vernetzt ist (Abbildung 2). 


Computer mit Objektiven 


Ergänzend zu dem in Münster installier- 
ten Projektionssystem stellte Sony auf 
der IBC zwei weitere 4K-Kinoprojekto- 
ren vor, die nicht den Sony SRX-R110 
als Projektor nutzen, sondern eine spe- 
ziell für den Kinoeinsatz konzipierte 
Projektionseinheit verwenden. Diese 
arbeitet mit „nackten“ Xenonkolben, 
wie sie klassische Kinoprojektoren ver- 
wenden, und kann so die Betriebskos- 
ten senken. Die beiden neuen Projekto- 
ren der SRX-R200-Serie enthalten im 
Prinzip dieselben IT-Komponenten wie 
das in Münster installierte System und 
sehen noch ein bisschen mehr aus wie 
ein Computer mit Objektiv. 

Nachdem die Wiedergabeseite ge- 
klärt ist, stellt sich die Frage, woher die 
neuen, schönen 4K-Digital-Kinofilme 
kommen sollen. Standard ist bisher 2K,, 


das die Bildqualität einer guten 35-mm- 
Kopie problemlos wiedergeben kann. 
Für die 4K-Auflösung reicht die Qua- 
lität des 35-mm-Films nicht mehr aus, 
4K-Filme werden daher entweder von 
65-mm-Kinofilmen abgetastet oder 
gleich in 4K-Auflösung produziert. Es 
gibt bereits einige Hersteller (Red, Dal- 
sa und demnächst Sony), die entspre- 
chende Kameras anbieten, sowie Post- 
production-Systeme, die mit dieser 
Auflösung umgehen können. 


Fazit 


Mit dem zunächst für ein Jahr geplan- 
ten Testbetrieb des neuen 4AK-Projek- 
tionssystems im Cineplex in Münster 
hat das digitale Kino einen spürbaren 
und vor allen Dingen sichtbaren Schritt 
nach vorne getan und bietet neben der 
großen Leinwand und dem Kinoam- 
biente nun auch von der Bildqualität 
her einen spür- und sichtbaren Mehr- 
wert gegenüber dem sich zunehmend 
etablierenden HDTV-Standard. Es lohnt 
sich, die Schritte wieder einmal ins Kino 
zu lenken. (ka) 


DIETER MICHEL 


arbeitet als freier DV-Journalist und ist 
Chefredakteur der Fachzeitschrift 
Prosound. 
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Interaktion 


Steuerung per Gehirn, Sprache oder Gesten 
® o.„® 
Bit-schnittig 


Barbara Lange 


Klassische Eingabemedien sind nicht alles. Überall 
forschen Wissenschaftler daran, die Schnittstelle zwischen 
Mensch und Maschine möglichst natürlich zu gestalten. 
Diverse Forschungsprojekte zeigen, was bereits geht. 
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ass sich Computer nicht nur über 
D Tasten oder Knöpfe bedienen 

lassen, hat spätestens Nintendo 
mit der Spielekonsole Wii bewiesen. 
Deren Controller misst über Sensoren 
die Bewegungen des Anwenders im 
Raum und überträgt sie auf die digi- 
talen Spielfiguren. Neben Computer- 
spielen existieren diverse Anwen- 
dungsbereiche, in denen es sinnvoll 
wäre, mit dem Rechner intuitiv über 
die Sinne zu kommunizieren. Zum 
Beispiel per Sprache oder mit neuen 
Display-Techniken. 

Oder mit der Kraft der Gedanken - 
diesen Zugangskanal nutzen Brain 
Computer Interfaces (BCJ), die schon 
seit Jahren erforscht werden [1], [2]. 
Sie eröffnen damit ganz neue Mög- 
lichkeiten in der Kommunikation zwi- 
schen Mensch und Maschine. Der Aus- 
gangspunkt: Schon der Gedanke an 
ein Verhalten verändert die Hirnakti- 
vität, erzeugt messbare mentale Zu- 
stände. Wenn jemand denkt „Cursor 
nach links bewegen“, unterscheidet sich 
dieser mentale Zustand vom vorherigen, 
lässt sich selektieren und für die Steue- 
rung von Rechnern verwenden: Für ein- 
fache Vorgänge wie Cursor-Bewegun- 
gen nach rechts oder links oder für 
Ja-Nein-Entscheidungen. 

Auf dieser Basis arbeiten Brain 
Computer Interfaces, die die Hirn- 
ströme eines Probanden mit einem 
Elektroenzephalogramm (EEG) auf- 
nehmen, verstärken und in Echtzeit in 
technische Steuersignale umwandeln. 
Am sichersten funktioniert dies derzeit 
bei einer Auswahl von zwei bis drei 
Alternativen. 


Roboterarm per 
Gedanken steuern 


So zeigte das Fraunhofer-Institut für 
Rechnerarchitektur und Softwaretech- 
nik FIRST auf der Medica 2007 Mitte 
November in Düsseldorf zum ersten 
Mal das Projekt Brain2Robot, bei dem 
ein Proband einen Roboterarm mental 
steuerte. 

Mit diesem Projekt wollten die Wis- 
senschaftler zeigen, dass man einen 
Roboter ausschließlich auf der Basis 
von EEG-Messungen führen kann. Ein 
anderes Verfahren setzen die Neuropro- 
thetiker ein, die im operativen Verfahren 
Elektroden in das Gehirn implantieren. 
Mit diesen invasiven Methoden lassen 
sich zwar 3D-Steuerungssignale erzeu- 
gen, gleichzeitig sind aber sowohl die 
Operation als auch die anschließende 
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Lernphase mit Versuchstieren, meist 
Affen, sehr aufwendig. 

Konnten Besucher der CeBIT 2006 
mithilfe des BCI auf einer ‚mentalen 
Schreibmaschine“ Buchstaben mit 
der Kraft ihrer Gedanken zu Wörtern 
zusammenfügen [3], so kombiniert 
Brain2Robot das Brain Computer Inter- 
face zusätzlich mit einem Gazetracker, 
einer Kamera, die die Blickrichtung 
der Versuchsperson analysiert und er- 
kennt, was sie tun möchte. Schaut sie 
beispielsweise auf eine Kaffeetasse, 
schlägt ihr die Software das vor, was 
man mit einer Kaffeetasse tun kann, 
etwa: anheben, trinken, Zucker einfül- 
len. Diese Alternativen bietet ihr das 
System als Auswahl-Option auf dem 
Bildschirm an. 

Anschließend setzt das BCI ein: 
Die 128 Elektroden in der badekappen- 
ähnlichen Haube auf dem Kopf der 
Testperson messen ihre Hirnströme, 
während sie sich mit der Kraft ihrer 
Gedanken für eine der angebotenen 
Aktionen des „intelligenten Schalters“ 
entscheidet. Das BCI wandelt die Hirn- 
ströme in Steuersignale um, der Robo- 
terarm bewegt sich gedankengemäß. 


Anwendungsbereiche 
jenseits der Medizin 


Eine Herausforderung ist es dabei, die 
richtigen Signale aus dem gesamten 
„Gehirnrauschen“ heraus zu erkennen, 
betont Prof. Dr. Klaus-Robert Müller, 
Abteilungsleiter für intelligente Daten- 
analyse beim Fraunhofer-Institut FIRST. 
Im Unterschied zu den langen Lernpha- 
sen, die die Patienten der Neuroprothe- 
tiker auf sich nehmen müssen, um rech- 
nertaugliche Gehirnsignale zu erzeugen, 
geht dies im gemeinsam mit der Klinik 
für Neurologie der Berliner Charite ent- 
wickelten BCI schnell. 

Auch erschließen sich damit neue 
Anwendungsbereiche jenseits der medi- 
zinischen Rehabilitation: Interessant 
wäre ein mit EEG-Strömen arbeitendes 
BCI beispielsweise für die Spiele- und 
Automobilindustrie. Hier sind aber wei- 
tere Ideen gefragt, denn die Nutzungs- 
möglichkeiten dieses neuen zusätz- 
lichen Kanals in der Interaktion von 
Mensch und Computer sind noch nicht 
konsequent erschlossen. 

Ungelöst ist derzeit noch die Frage, 
warum ungefähr ein Drittel der Bevöl- 
kerung nicht mit dem BCI kommuni- 
zieren kann. Ein weiterer Forschungs- 
schwerpunkt betrifft die Sensorik: 
Müssen die in die Haube eingesetzten 
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Die drei großen Softwarebereiche von SmartWeb für Fußgänger, Auto- und 
Motorradfahrer. Nach der multimodalen Dialogverarbeitung entscheiden die 
semantischen Zugriffsdienste, wo das System suchen soll (Abb. 1). 


Elektroden derzeit mit einem elektrisch 
gleitenden Gel am Kopf befestigt wer- 
den, sollen trocken arbeitende Elektro- 
den eine nächste benutzerfreundlichere 
Phase einläuten. 


Die Alltagssprache 
als Weltneuheit 


Eine Kombination mehrerer Zugangs- 
kanäle nutzt das Projekt SmartWeb, das 
natürlichsprachliche Fragen wie „Wo 
geht es zum nächsten Italiener?“ oder 
„Wer hat bei den Salzburger Festspie- 
len letztes Jahr in der Premiere La Tra- 
viata gesungen?“ erlaubt. Besonders 
mobile Anwendungen sind prädesti- 
niert für intuitive Schnittstellen, die 
menschliche Äußerungen in Abfragen 
für Suchmaschinen oder Navigations- 
systeme verwandeln. 

Das Projekt SmartWeb verbindet 
Sprache, Gestik, Bilder und Video bei 
der Eingabe, bei der Ausgabe gibt es 
zusätzlich Grafik- und Tondokumente. 
Das Bundesministerium für Bildung 
und Forschung hat SmartWeb mit 13,7 
Millionen Euro gefördert, es gab 16 
Projektpartner aus Industrie und For- 
schung. Die Projektleitung liegt beim 
Deutschen Forschungsinstitut für Künst- 
liche Intelligenz DFKI. 

Verglichen mit der Wandlung von 
Gedanken in technische Steuerungssig- 
nale erscheint der Zugangskanal Spra- 
che beinahe trivial. Ist er aber nicht, 
denn mobile Nutzer im Auto oder Mo- 
torrad sowie Fußgänger können Dialoge 
in Alltagssprache führen, erklärt Prof. 
Dr. Wolfgang Wahlster vom DFKI, 
Projektleiter von SmartWeb, und das 
sei eine echte Weltneuheit. 


Auf den mobilen Bildschirmen er- 
scheinen nicht wie üblich lange Er- 
gebnislisten einer Suchmaschine, son- 
dern schlichte Antworten in Text oder 
Bild, zum Beispiel „Dorfstr. 5“. Bei 
der anschließenden Frage „Wie kom- 
me ich dorthin und muss ich vorher 
noch tanken?“ berücksichtigt Smart- 
Web den Inhalt der vorangegangenen 
Anfrage und reagiert mit einem Navi- 
gationsvorschlag in Bild und Ton, ver- 
knüpft also Fahrzeugdienste mit Inter- 
net-Services. 


SmartWeb 
kombiniert Webdienste 


So will man von einer traditionellen 
Suchmaschine zu einer „Antwortma- 
schine“ kommen, die das Ergebnis 
unterschiedlicher Abfragen in einer 
einzigen Antwort kombiniert, heißt es 
im DFKI. Die Grundlagen des Smart- 
Web sollen in das Suchmaschinenpro- 
jekt Theseus einfließen, ein vom 


A-TRACT 


@ Die Interaktion zwischen Mensch 
und Computer ist seit Langem 
Thema von Forschungsprojekten. 


© Aktuelle Studien erproben die 
Steuerung von Rechnern und 
Robotern per Gedankenkraft, 
gesprochener Sprache und Gestik. 


e Multitouch-Bildschirme können 
mehrere Eingaben gleichzeitig 
verarbeiten und sind bereits 
marktreif. 
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Interaktion 


Bundesministerium für Wirtschaft und 
Technologie (BMWi) initiiertes For- 
schungsprogramm, das das Ziel ver- 
folgt, eine neue internetbasierte Wis- 
sensinfrastruktur zu entwickeln. 


Sprachsysteme 
werden immer besser 


SmartWeb geht damit weiter als das 
Vorgängerprojekt SmartKom (bis 2003), 
das nicht offen im Internet, sondern 
nur mit einer eigens aufgebauten Wis- 
sensbasis funktionierte. Als besonders 
schwierig bei der Verarbeitung eines 
unbegrenzten Wortschatzes erwies sich 
die Erkennung unbekannter Wörter, 
insbesondere Eigennamen. Herkömm- 
liche Spracherkennungssysteme geben 
dabei meist das Wort aus, das dem un- 
bekannten am nächsten kommt. Smart- 
Web erkennt unbekannte Worte als 
„Out of Vocabulary“ (OOV) und zer- 
legt sie nahezu fehlerfrei in Silben und 
Buchstabenfolgen. Sprachfärbungen 
und national bedingte Akzente erlaubt 
SmartWeb ebenfalls. Wer als deutscher 
Nutzer englischsprachige Musiktitel 
nicht perfekt ausspricht, erhält trotzdem 
den gewünschten Song. 

Insgesamt ermittelte das DFKI bei 
seiner jährlichen Analyse kommerziell 
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Im Projekt 
Brain2Robot steuert 
die Testperson einen 
Roboterarm per 
Gedankenkraft. Das 
Brain Computer 
Interface zeichnet 
die Hirnaktivität auf 
und verwandelt sie 
in technische 
Steuersignale 

(Abb. 2). 


Mobile Nutzer im 
Auto oder Motorrad 
können im Projekt 
„SmartWeb” 
Dialoge in der 
Alltagssprache 
führen (Abb. 3). 
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verfügbarer Spracherkennungssysteme 
auch in diesem Jahr eine Leistungsstei- 
gerung. Vorgestellt hat das Institut die 
Ergebnisse auf den jährlichen Voice- 
Days im Oktober in Bonn, die nach 
dem Redaktionsschluss für diese Aus- 
gabe stattfanden. 

Verbesserungen gibt es demnach bei 
der Sprachausgabe: Der Nutzer kann 
sie abbrechen, wenn er beispielsweise 
schon bei den ersten Worten merkt, 
dass die Software ihn missverstanden 
hat. Toleranter sind die Anwendungen 
mittlerweile auch bei der Interpreta- 
tion von Füllwörtern und Verspre- 
chern. Darüber hinaus arbeiten alle 
Systeme, die State-of-the-Art-Techni- 
ken verwenden, sprecherunabhängig. 
Das heißt, der Nutzer muss sie nicht 
mehr trainieren. 

Geforscht wird derzeit im Bereich der 
Sprecherklassifikation. So ist eine Ein- 
teilung nach Alter und Geschlecht in 
vier Kategorien (Kind/Jugendlicher, Er- 
wachsener, Senior, Geschlecht) bereits 
möglich, ebenso wie eine emotionale 
Sprachsynthese. 

Nach Angaben des DFKI funktio- 
niert die Identifizierung der Landes- 
sprache derzeit noch nicht in allen Fäl- 
len verlässlich. Lassen sich türkisch, 
deutsch und englisch sprechende Nut- 
zer gut voneinander unterscheiden und 


erkennen, ist die Trennschärfe bei 
Deutsch, Holländisch und Schweizer- 
deutsch noch nicht ausreichend. 
Ausgehend von der Erkenntnis, dass 
der Mensch kognitiv überfordert ist, 
wenn er sich auf einen einzelnen Sinnes- 
kanal verlässt, kombiniert das SmartWeb 
mehrere Kanäle multimodal. Zum Bei- 
spiel Bild und Ton: So können Touris- 
ten ein Gebäude mit der Handy-Kamera 
fotografieren und mittels Spracheingabe 
fragen: „Wie komme ich dahin?“. 


Multimodal verschiedene 
Kanäle verbinden 


Bilder, die man als Antwort erhalten hat, 
lassen sich ebenfalls weiter hinterfragen, 
etwa das Gruppenbild einer Fußball- 
mannschaft: „Wer ist der Dritte von 
links?“ Die Auskunft erfolgt auf Grund- 
lage der Beschreibung multimedialer In- 
halte durch MPEG7. 

Der Motorradfahrer hat Mikrofon 
und Lautsprecher im Helm und kann 
über haptische Funktionen, die im 
Lenker eingebaut sind, Dienste aus 
dem grafischen Menü selektieren. Ei- 
ne Kamera misst, wie weit der Fahrer 
vom Mikrofon entfernt ist oder ob er 
wirklich die gerade übermittelte Infor- 
mation auf dem Bildschirm wahrge- 
nommen hat. Als Sahnehäubchen er- 
halten Motorradfahrer zusätzlich von 
vorausfahrenden Autos — via Internet 
angebunden - Informationen über den 
Straßenzustand, Ölspuren oder die Ge- 
fahr von Aquaplaning. 

Das im SmartWeb entwickelte mul- 
timodale Dialogsystem soll in das Pro- 
jekt „sIM-TD“ (Sichere intelligente 
Mobilität — Testfeld Deutschland) ein- 
fließen, das das BMBF und das BMWi 
ab Ende 2007 fördern wollen. 

SmartWeb ist marktreif. Derzeit ist 
man dabei, die Projektergebnisse kom- 
merziell umzusetzen. Das Sprachdia- 
logsystem für Motorradfahrer wurde 
erprobt an der BMW K1200 LTundR 
1200 RT. Für die A- und R-Klasse 
von Mercedes gibt es eine einbaufähi- 
ge Version. 


Fingerfertig: 
Multitouch-Bildschirme 


Eine Weiterentwicklung der herkömm- 
lichen Touchscreens bieten Multitouch- 
Bildschirme, die mehrere Eingaben 
gleichzeitig verarbeiten können — zwei- 
händig von einer Person oder von meh- 
reren, die Fenster und grafische Objekte 
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hin- und herschieben, Fenster groß- 
und kleinziehen, ähnlich wie im Film 
„Minority Report“. 

Bekannt wurde diese intuitiv ein- 
setzbare Technik durch eine Präsenta- 
tion von Jeff Han von der New York 
University auf der TED-Konferenz 
2006. Der Link für das dort gedrehte 
Video findet sich im Kasten „Online- 
quellen“. Mittlerweile ist die Technik 
marktreif. So verwendet zum Beispiel 
die Firma Apple in ihrem neuen, hier- 
zulande im November auf dem Markt 
erschienen iPhone ein Multitouch- 
Interface. 

Auch Microsoft zielt mit dem für 
Ende 2007 avisierten Multitouch-Bild- 
schirm „Microsoft Surface“ in Rich- 
tung intuitive Benutzerführung. Den 
30-Zoll großen Bildschirm steuert der 
Anwender allein über die Finger. Ein- 
satzgebiete sollen zunächst Restau- 
rants, Hotels und Casinos sein. 

Auf der IFA 2007 haben die beiden 
Unternehmen foresee und werk5 erst- 
mals ihren ‚Interactive Table‘ präsen- 
tiert. Als Anwendungsgebiet stellen sich 
die Entwickler die Präsentation von Pro- 
jekten vor, da an dem Tisch mehrere 
Personen gleichzeitig interagieren kön- 
nen. Wo im klassischen Umfeld nur ei- 
ner an der Maus sitzt, können so meh- 
rere gemeinsam an einer Präsentation 
arbeiten. 

Als besondere Herausforderung bei 
der Entwicklung des Multitouch-Tisches 
haben die Unternehmen den Lichteinfall 
bei Tage gebändigt, daher funktioniert 
er auch bei Tageslicht. Das Verfahren 
ist patentiert. 


Der Touchscreen wird 
touchless 


An der Nutzung von Multitouch für vir- 
tuelle 3D-Bildschirme arbeiten derzeit 
die Forscher am Fraunhofer-Institut für 
Nachrichtentechnik, Heinrich-Hertz-Ins- 
titut HHI [4]. Was von Weitem aus- 
sieht wie ein sinnloses Stechen mit dem 
Finger in die Luft, entpuppt sich bei nä- 
herer Betrachtung als ein Klicken mit 
dem Finger — zurzeit noch einem einzi- 
gen — auf eine virtuelle Buttonleiste, 
die einige Zentimeter vor dem Bild- 
schirm schwebt. 

Autostereoskopische Displays er- 
möglichen eine dreidimensionale Sicht 
ohne Stereobrille oder Datenhand- 
schuh. Sie schicken zwei Bilder - eins 
an jedes Auge, sodass ein räumlicher 
Eindruck entstehen kann. Für die Inter- 
aktion mit Rechner und Bildschirm, 
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Der Multitouch- 
Bildschirm „Microsoft 
Surface” soll Ende des 
Jahres auf den Markt 
kommen. Er kann 
mehrere Eingabe- 
punkte gleichzeitig 
verarbeiten (Abb. 4). 


beispielsweise das Drücken der virtuel- 
len Auswahltasten, nutzen die Forscher 
am Fraunhofer-Institut HHI die „Fin- 
ger-Tracking-Technik“. 

So kann der Anwender virtuelle 3D- 
Objekte bei Mixed-Reality-Anwendun- 
gen „berühren“, drehen und bedienen, 
die 20 Zentimeter vor dem Bildschirm 
zu schweben scheinen. Zusätzlich er- 
fasst eine Kamera, die in die Tischplat- 
te eingelassen ist, die Bewegungen der 
Finger. Durch ein Force-Feedback-Sys- 
tem erhält der Nutzer das Gefühl einer 
Tastenempfindung. Zur Erhöhung der 
Bewegungsfreiheit des Nutzers vor 
dem Bildschirm prüft eine Kamera 
ständig den Blickwinkel zwischen ihm 
und dem Bildschirm. 

Wissenschaftler am Heinrich-Hertz- 
Institut arbeiten daran, dass Multi- 
touch-Technik auch berührungslos 
funktionieren kann. Dabei sind sie 
technisch nahe dran, die Bewegung der 
Fingerspitzen beider Hände videoba- 
siert in Echtzeit zu erfassen, erklärt Dr. 
Siegmund Pastoor, Leiter Human Fac- 
tor des HHI. Noch unzureichend er- 
forscht seien Interaktionskonzepte, die 
eine intuitive Nutzung ermöglichen, 
das heißt gebrauchstaugliche, plausible 
Lösungen. 


Fazit 


Aktuelle Projekte zur Überwindung 
der klassischen Mensch-Maschine- 
Schnittstelle nutzen unter anderem als 
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Zugangskanäle Gehirn und Sprache 
sowie haptische und virtuelle Multi- 
touch-Screen- Eingaben. Viel ist noch 
Forschung, aber alle Projekte nähern 
sich der Marktreife oder haben sie 
schon erreicht. 

Die Anwendungsbereiche liegen vor 
allem in mobilen Szenarien und im me- 
dizinischen Bereich zur Unterstützung 
Behinderter. Nach Einschätzung der 
Forscher sind die Möglichkeiten der 
neuen Zugangskanäle aber noch längst 
nicht erschöpfend genutzt. (ka) 
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Integration 


PHP-Anwendungen mit Java-Backend 
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Kaffeeklatsch 


Markus Eisele 


Seit sich Unternehmensprozesse immer mehr ins Web 
verlagern, wächst das Bedürfnis, etablierte Internet-Techniken 
wie PHP mit Java-Enterprise-Anwendungen zu kombinieren. 
Standardprodukte für die Verknüpfung sind zwar noch 
Mangelware, einige Ansätze jedoch vielversprechend. 


er sein Java-Backend mit dy- 
namischen Webseiten, oft er- 
stellt mit dem populären 


PHP, verbinden will, kann sich noch 
nicht aus einer reichen Auswahl an ge- 
eigneter Technik oder gar bei zahlrei- 
chen ausgereiften Produkten bedienen. 
Trotzdem lohnt es sich, einiges von dem 
Vorhandenen näher zu untersuchen. 
Eine Ausführungsumgebung für die 
Skriptsprache PHP läuft je nach Be- 
triebssystem als separater Dienst oder 
Prozess. Außer den Schnittstellen zu 
Webservern wie Apaches HTTPD oder 
Microsofts IIS bietet PHP keine standar- 
disierten Objekt-Interfaces. Grundsätz- 
lich gilt Letzteres auch für eine Java 
Virtual Machine (JVM). Will man nun 
PHP- und Java-Programme dazu brin- 
gen, miteinander zu reden, müssen ge- 
eignete Zwischenstücke her. Die do- 
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cken sich an den rudimentären Schnitt- 
stellen der jeweiligen Prozesse an, ver- 
und entpacken übertragene Objekte, 
die die (für den Entwickler unsicht- 
bare) Kommunikation über Prozess- 
grenzen hinweg abwickeln, und stel- 
len Programmier-Interfaces (APIs) zur 
Verfügung. 

Bei der Suche nach solchen Adap- 
tern stößt man bald auf die PHP Java 
Extensions. Diese Erweiterungen nut- 
zen das Object Overloading von PHP, 
um auf Java-Klassen zuzugreifen. Ruft 
ein PHP-Programm eine Java-Methode 
an einem Objekt auf, wird zuerst via 
Java Native Interface (JNI) eine Java 
Virtual Machine (JVM) erzeugt. Der 
Rückgabewert lässt sich in den PHP- 
Seiten anzeigen. Die ersten Gehversu- 
che mit dieser Lösung gestalten sich 
mühselig. Der Entwickler muss etliche 


Dinge konfigurieren, installieren, und 
die Kombination mit JNI verspricht 
nicht gerade sonderlich stabile Syste- 
me. Unter Last geht diese Konstruktion 
schnell in die Knie. Schlimmstenfalls 
startet jeder Request eine komplette 
JVM. Für solche Experimente sollte ein 
Server mit großvolumigem Hauptspei- 
cher zur Verfügung stehen. Instanz- 
Pooling oder andere Wiederverwertung 
findet hier nicht statt. 


Eingebettete Experimente 


Ähnliches lässt sich über die PHP Serv- 
let SAPI berichten. Sie bettet allerdings 
nicht Java in PHP ein, sondern PHP in 
Java: Ein Java-Webcontainer (etwa 
Tomcat) bekommt via Servlet eine 
PHP-Instanz eingebaut. Obwohl das 
SAPI-Modul auf den Mechanismen der 
PHP Java Extensions basiert, ist es sta- 
biler und performanter. Vor allem des- 
wegen, weil sich die Servlet Engine um 
das Pooling und das Recycling der 
JVMs kümmert und der PHP-Kern le- 
diglich bei Bedarf geladen wird. Für 
beide Varianten finden sich Pro- und 
Kontra-Stimmen in einschlägigen Fo- 
ren und Artikeln. Gefühlt überwiegen 
die Problemberichte. Aus diesem Grund 
sind die PHP Extension für PHP5 als 
experimentell gekennzeichnet. Für pro- 
duktive Umgebungen eignen sich beide 
Ansätze noch nicht. 

Dem Java-Entwickler mögen die 
beiden Vorschläge befremdlich er- 
scheinen, weiß er doch, dass mit Java6 
der Java Specification Request 223 um- 
gesetzt wurde. Dieser JSR beschreibt 
eine API, die einen Weg zum Einbin- 
den von Skriptsprachen in die Java- 
Welt weist. Pro Sprache definiert der 
JSR eine sogenannte Scripting Engine. 
Zwar fördert die Suche in Suns Scrip- 
ting-Projekt keine entsprechende En- 
gine zutage, woanders findet man je- 
doch zwei Produkte, die die Scripting 
API für PHP umsetzen: Die PHP/Java 
Bridge auf Sourceforge und die native 
Java-Implementierung von PHP na- 
mens Quercus von Caucho. Die API re- 
duziert den Gebrauch von PHP-Skrip- 
ten in Java zum Vierzeiler (Listing 1). 

Damit kann der Java-Entwickler auf 
einfache Weise Rückgabewerte von be- 
liebigen PHP-Methoden und -Klassen 
in seine Programme übernehmen. Der 
Weg in die andere Richtung bleibt je- 
doch zunächst verschlossen. Allein ist 
die Scripting Engine nicht in der Lage, 
PHP-Dateien und -Klassen in einem 
Java-Applikationsserver auszuführen. 
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Listing 1 

SeriptEnginellanager m = new ScriptEnginellanager(); 
SeriptEngine phpEngine = n.getEngineByExtension("php"); 
Seriptlontext context = phpEngine.getContext(); 


9" context); 


Object php2javaResult = phpEngine,eval("<?php echo \"hello world\"; 


man muss nur die relevanten 
PHP-Klassen auf den Webser- 
ver kopieren. Folgender Code- 
Schnipsel eröffnet den Zugriff 
auf Java-Klassen: 


®php require_oncel,java/Java.php”); 


Listing 2 


<servlet> 
<servlet-name>PHPServlet</servlet-nane> 
<servlet-class> 


<Iservlet> 
<servlet-mapping> 
<servlet-name>PHPServlet</servlet-nane> 
<url-pattern>*.php</url-pattern> 
</servlet-mapping> 


$string = new Javal,java.lang.String", 7 
„HelloWorld"); 


echo $string; 


com. caucho.quercus.servlet.QuercusServlet</servlet-class> %> 


Zum Ausführen benötigt diese 
Variante keinen nativen Code 
(.so oder .dll). Großes Manko: 


Quercus beziehungsweise die PHP/ 
Java Bridge liefern das notwendige 
Drumherum, dazu später mehr. 

Zu den nativen Möglichkeiten ge- 
hört die PHP-Java-Interaktion mithilfe 
von Webservices. Hierbei geht es aller- 
dings nicht um eine enge Verzahnung 
beider Welten, sondern lediglich um ei- 
ne lose Zusammenarbeit. Dennoch hat 
diese Option ihren Reiz. JEE kommt 
zwar ohne Probleme mit Webservices 
klar, auf der PHP-Seite muss man je- 
doch nachrüsten. Infrage kommen da- 
für etliche Frameworks, beispielsweise 
NuSOAP, ein Webservices-Toolkit für 
PHP. Allerdings müssen die Entwick- 
ler für diesen Weg auf beiden Seiten 
Schnittstellen schaffen und Überein- 
künfte bezüglich der Zusammenarbeit 
treffen. Der Gewinn besteht in einer 
stabilen Lösung, die beide Seiten mög- 
lichst wenig beeinflusst. Allerdings 
muss man hier mit zwei separaten In- 
frastrukturen klarkommen. 


Offen in alle Richtungen 


Die im Folgenden vorgestellten In- 
tegrationsbemühungen gehen tiefer. 
JSR-223 bringt zwar dem Java-Ent- 
wickler PHP näher, seine PHP-Kolle- 
gen bleiben aber ohne nennenswerte 
Unterstützung. Dieses Manko wollen 
verschiedene Brücken beheben. Zur 
erwähnten PHP/Java Bridge existiert 
eine kommerzielle Alternative von 
Zend, der „PHP Company“. Beide 
Produkte sind in der Lage, von PHP 
aus auf Plain Old Java Objects (PO- 
JOs) sowie andere Java- und JEE- 
Komponenten (EJBs, Connections, 
JMS et cetera) zuzugreifen. Die PHP/ 
Java Bridge bietet zwei Zugriffsoptio- 
nen: Eine native, in PHP geschriebene 
Java-Brücke und ein in C umgesetztes 
PHP-Erweiterungsmodul. Der erste 
Weg lässt sich einfach beschreiten, 
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Im Gegensatz zum in C verfass- 
ten Modul läuft sie rund zehnmal lang- 
samer. Dafür ist die Konfiguration des 
C-Moduls schwierig. Außer der Java- 
Bridge.jar muss der Entwickler eine 
spezielle php_java.dll in den PHP-Er- 
weiterungsordner (<drive>/php/ext) Ko- 
pieren und in (php.ini) registrieren. Un- 
ter Linux funktioniert das alles ohne 
installiertes Java; Windows verlangt 
hingegen ein Java Development Kit 
(JDK). Das einsatzbereite Modul kann 
beispielsweise folgenden Code aus- 
führen: 


<@php 

$system = new Javal'java.lang.System'); 

echo "Java version=' . $system->7 
getProperty|'java.version'); 

%> 


Interessant ist die Tatsache, dass die 
PHP/Java Bridge ohne JNI auskommt. 
Neben den zwei beschriebenen Modu- 
len und der Scripting Engine gibt es 
noch eine Mono-.Net-Brücke. Detail- 
lierte Informationen dazu stehen auf 
der Projektwebseite. 

Zend bietet im Rahmen seiner PHP- 
Plattform die Java Integration Bridge 
an. Leider gibt die Firmenwebsite dazu 
nicht allzu viel Wissenswertes preis. 
Erst der User Guide erschließt die Ar- 
chitektur des Produkts. Das Java Midd- 
leware Module folgt dem PHP-Stan- 
dard. Der Zugriff sieht genauso aus wie 
bei der PHP/Java Bridge. Allerdings 
helfen hier einige Zusatzprogramme. 
Sowohl auf PHP- als auch auf Java- 
Seite wird eine Komponente installiert, 
die das Ein- und Auspacken der über- 
tragenen Objekte besorgen. 


Gute Lösung, 
etwas gebremst 


Um die Wiederverwendung von Java- 
Instanzen und ein besseres Handling 
(Pooling, Threading et cetera) zu ge- 
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währleisten, startet man nicht einfach 
eine beliebige JVM und konfiguriert 
PHP zum Zugriff darauf, sondern akti- 
viert einen speziellen Dienst, der die 
Java-Instanzen verwaltet. Über diesen 
Service lassen sich sowohl Port als 
auch maximal verfügbare Prozesse ein- 
stellen. Die Kommunikation mit dem 
JEE-Applikationsserver erfolgt via Re- 
mote Method Invocation (RMI). Nach- 
teil dabei: Ein PHP-Programm kann 
nur auf Objekte zugreifen, die über ein 
Rembote-Interface verfügen. In Sachen 
Performance profitiert dieser Weg also 
nicht von den in der Java-Spezifikation 
verankerten Optimierungen, den EJB 
Local Interfaces. Nach eigenen Anga- 
ben arbeitet Zend zurzeit an dieser 
Baustelle. Es sei noch erwähnt, dass die 
Firma zwar zusammen mit Sun den 
JSR-223 ins Leben rief, bisher aber 
keine offizielle PHP-Engine für Java 
vorgestellt hat. 

Wer mit den bisher beschriebenen 
Möglichkeiten nicht zurechtkommt, 
dem bleibt eine letzte Option. Neben 
der offiziellen PHP-Distribution gibt es 
die nach der GPL lizenzierte und in Ja- 
va geschriebene Ausführung Quercus. 
Dieses Wunderwerk stammt, wie oben 
schon erwähnt, von der Firma Caucho, 
Hersteller des Applikationsservers Re- 
sin, der auch Quercus enthält. Quercus’ 
Scripting Engine ist dieselbe wie bei 
der PHP/Java Bridge. Vorteile zieht der 
Entwickler aus den zusätzlichen Funk- 
tionen, die das Paket bereitstellt. Dazu 
zählen ein Servlet Wrapper für PHP- 
Aufrufe sowie die komplette Verwal- 
tung der PHP-Instanz innerhalb des 
Webcontainers. Quercus lässt sich als 
Webapplikation (.war) herunterladen. 
Nach dem Auspacken muss der Pro- 
grammierer diese Datei in das Anwen- 
dungsverzeichnis eines beliebigen Web- 
containers schieben und schon steht ihm 
ein halbwegs aktuelles PHP 5.2.0 unter 
Java zur Verfügung. Damit ist es denk- 
bar einfach, vorhandenen Java-Anwen- 
dungen PHP-Funktionen anzubieten. 
Zwei Java-Bibliotheken muss er noch 
in das WEB-INF/lib kopieren und das 
PHP Servlet in der web xml registrieren 
(Listing 2). 

Leider ist auch hier nicht alles so 
einfach, wie es zunächst scheint. Zwar 
stehen schon eine Menge PHP-Modu- 
le für Quercus zur Verfügung (darun- 
ter APC, iconv, GD, gettext, JSON, 
MySQL, Oracle, PDF und Postgres) 
aber die komplette Palette deckt das 
Angebot noch nicht ab. Dennoch sind 
viele bekannte PHP-Anwendungen un- 
ter Quercus lauffähig, etwa DokuWiki, 
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Drupal, Gallery2, Joomla, Mambo, Man- 
tis, MediaWiki, Phorum, phpBB, php- 
MyAdmin, PHP-Nuke, Wordpress und 
XOOPS. Leider enttäuscht die kosten- 
lose Version des Werkzeugs mit einem 
großem Nachteil: Datenbankzugriffe 
lassen sich nur per Java Naming and Di- 
rectory Interface (INDD) ausführen. Der 
normale PHP-Zugriff funktioniert nur in 
der lizenzpflichtigen Professional-Ver- 
sion des Application Server (Listing 3). 

Ebenfalls ein Schmankerl, in dessen 
Genuss nur die Professional-Lizenz- 
nehmer kommen: Quercus kann PHP- 
Quellen nicht nur zur Laufzeit inter- 
pretieren, sondern auf Wunsch auch 
vorkompilieren. In produktiven Um- 
gebungen ergibt sich hier sicher ein 
Performancegewinn. 

Es ist nicht möglich, eine pauschale 
Empfehlung für den richtigen Weg zu 
geben, zu unterschiedlich sind die An- 
forderungen. Wer in PHP-Webseiten 
gelegentlich einige Java-Funktionen 
verwenden möchte, muss eine andere 
Architektur aufbauen, als jemand, der 
eine Java-Webanwendung um PHP- 
Teile erweitern will. Das am häufigsten 
gewünschte Szenario ist vermutlich das 
anfangs skizzierte Java-Backend mit 
Geschäftsdaten im Zusammenspiel mit 
einer agilen und modernen PHP-Web- 
oberfläche. Bei Unternehmen, die so 
etwas wollen, kann ein Produkt mit 
professionellem Support punkten — und 
hier bleibt nur Zends Java Integration 
Bridge. Wer nicht auf kommerzielle 
Unterstützung angewiesen ist, kann 
sich am PHP/Java-Bridge-Projekt auf 
Sourceforge versuchen. Am einfachs- 
ten gestaltet sich die Kommunikation 
über Webservices (XMLRPC/SOAP). 
Dafür braucht man in der Regel nicht 
einmal eine zusätzliche Architektur- 
komponente, bekommt allerdings auch 
keine integrierte Lösung. (jd) 


MARKUS EISELE 


arbeitet im Bereich Software-Techno- 
logie im Center of Competence 


|T-Architecture der MSG Systems AG. 


Listing 3 


I1 PHP-DB-Zugriff 

Ilmysql_connect($host, $usernane, $password, $dbnane); 
IT NDI-Zugriff 
mysql_connect("java:comp/env/jdbe/nyDatabasellane"); 


JEE und die Technik 


Die JEE-Spezifikation stellt einen allge- 
mein akzeptierten Rahmen bereit, in dem 
sich aus modularen Komponenten verteil- 
te, mehrschichtige Anwendungen entwi- 
ckeln lassen. Um eine JEE-Anwendung 
ausführen und betreiben zu können, be- 
nötigt man einen Applikationsserver, der 
Ausführungsumgebungen für die Kom- 
ponenten zur Verfügung stellt. Zumeist 
enthält der Application Server einen 
Webserver, der das generierte HTML an 
den Browser ausliefert. Lediglich ein Teil 
der JEE, nämlich die Java Server Pages 
(JSP) sind mit PHP-Seiten vergleichbar: 
Bei beiden handelt es sich um mit Code 
angereicherte HTML-Seiten. Im Gegen- 
satz zu den PHP-Seiten werden JSPs 
beim erstmaligen Ausführen in Servlets 
konvertiert. Ein Servlet ist eine program- 
mierte oder generierte Java-Klasse, die 
sich in einem JEE-Webcontainer ausfüh- 
ren lässt. 


PHP: Technische 
Grundlagen 


Um eine PHP-Datei im Rahmen einer 
Webanwendung ausführen zu können, be- 
nötigt man ein System, das mit den im 
Sourcecode enthaltenen Anweisungen 
umgehen kann. Herkömmliche Webserver 
sind dazu nicht in der Lage. Sie bieten 
aber eine Schnittstelle (beispielsweise 
ISAPI oder CGI) für die Interpreter an. 
Sobald ein Webserver eine registrierte Da- 
tei (etwa *.php) ausliefern soll, übergibt 
sie ein Server-Daemon oder Dienst (zum 
Beispiel Apache oder IIS) an den Interpre- 
ter. Performant ist das Ganze jedoch nicht. 
Daher hat man dieses Vorgehen über die 
Jahre Stück für Stück durch Apache-Mo- 
dule abgelöst. Apaches Webserver bietet 
heute diverse Komponenten für die Zu- 
sammenarbeit mit Skriptsprachen. mod_ 
php ist für das Einbinden des PHP-Inter- 
preters zuständig. 


Zend PHP Java Bridge 


www.zend.com/products/zend_platform/in_depth/php_java_integration 


PHP-Java-Bridge php-java-bridge.sourceforge.net/pjb/ 
JSR 223 www.jcp.org/en/isr/detail®id=223 
Scripting Engines scripting.dev.java.net/ 

Eclipse PDT www.eclipse.org/pdt/ 

PHP in Java quercus.caucho.com// 

NuSOAP sourceforge.net/projects/nusoap/ 


A 
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REPORT 


Geschäftsregeln 


rozessorientierung heißt: konse- 
P..: Denken in Geschäftsab- 

läufen und -regeln. Die fachlichen 
Gegebenheiten bildet ein Modellierer 
mithilfe eines Business-Process-Ma- 
nagement-Werkzeugs (BPM) ab, dessen 
Kern aus einer sogenannten Prozess- 
maschine besteht. Mit Regeln beschreibt 
er die Entscheidungsflüsse, hinter de- 
nen sich die prozessübergreifenden 
Managementprinzipien und die Fir- 
menpolitik verbergen. Für das Formu- 
lieren und Ausführen der Regeln gibt 
es „Regelmaschinen“; die zugehörige 
Disziplin nennt sich Business Rules 
Management (BRM). 

Ein Prozess nutzt typischerweise 
mehrere Regeln, während eine Regel in 
verschiedenen Prozessen ihren Dienst 
verrichten kann. Es ist daher notwen- 
dig, Prozess- und Entscheidungslogik 
strikt voneinander zu trennen. So erhält 
das Unternehmen klare Abläufe und 
die Angestellten verstehen die haus- 
eigenen Prinzipien besser. Nur unter 
diesen Voraussetzungen kann ein 
Unternehmen flexibel reagieren. Sei- 
ne Agilität bezeichnet die Fähigkeit 
zur Innovation und schnellen 
Anpassung der Geschäftsmo- +, 
delle. Von industrialisierten 
beziehungsweise standardi- , 
sierten und automatisierten 
Abläufen erhofft man sich eine konti- 
nuierliche Optimierung der Prozesse 
sowie geringere Kosten. Ziel ist es, 
Durchlaufzeiten, -volumen und die 
Qualität der Produkte ständig zu ver- 
bessern. 

Eigentlich widersprechen sich Agi- 
lität und Industrialisierung. Wenn ein 
Unternehmen jedoch Prozesse und Re- 
geln im Kontext einer serviceorientier- 
ten Architektur (SOA) verwaltet, hat 
es die Möglichkeit, beide Zielsetzun- 
gen mittels BPM und BRM zusammen- 
zubringen. Denn SOA zielt darauf ab, 
„Software for Change“ zu verwirk- 
lichen. BPM schafft die technischen 
Grundlagen für das Automatisieren von 
Geschäftsprozessen, BRM liefert die 
Basis für das Standardisieren sowie ei- 
ne transparente Firmenpolitik und nach- 
vollziehbare Managementprinzipien. 


Regeln integrieren sich 


in die SOA 


Eine SOA definiert das Zusammenspiel 
von Prozessen und Regeln neu. Bisher 
galt das von der Gartner Group aufge- 
stellte Dogma, beide strikt voneinander 
zu trennen und zu verwalten, die Pro- 
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Business Rules Management: 


Ende des Release-Zyklus 


Normalfall Beta 


Wolfgang Martin 


Geschäftsprozess- und Regelmanagement in einem 
serviceorientierten IT-Umfeld eröffnen der Software- 
entwicklung neue Perspektiven. Die mit viel Aufwand 
verbundenen Release-Wechsel großer Systeme könnten 
beispielsweise bald der Vergangenheit angehören. 


zessmaschinen beziehungsweise Re- 
gelmaschinen aber miteinander zu in- 
tegrieren. Die SOA-Idee geht einen 
Schritt weiter: Statt proprietäre BPM- 
und BRM-Techniken zusammenzufüh- 
ren, gelten die Regeln hier als von der 
Prozessmaschine orchestrierte Dienste. 
Sie bilden eine neue Kategorie namens 
Rule-Services, die sich als Kapselung 
komplexer Regeln verstehen lassen. 
Ein Rule-Service kann einen anderen 
aufrufen — analog zum Unterprozess- 
Prinzip im BPM. Damit wird die Re- 
gelmaschine zum Bestandteil der SOA, 
und die Entscheidungslogik Teilmen- 
ge der Geschäftslogik. Für die Regeln 
existiert eine eigene Administration im 
Repository, für die Registrierung und 


in der Governance-Infrastruktur. Die 
Regeln basieren auf dem gleichen Ge- 
schäftsvokabular wie die Prozesse 
(Abbildung 1). 

BPM und BRM sind Kreislaufmodel- 
le, die Prozesse beschreiben, Regeln pla- 
nen, modellieren, implementieren, über- 
wachen und steuern (Abbildung 2). Hier 
kommt es nicht nur auf die richtige Ar- 
chitektur an, sondern auch auf die Zu- 
sammenarbeit zwischen Fachabteilung 
und IT. In der Vergangenheit konzen- 
trierte sich diese Kooperation beim Än- 
dern von Softwaresystemen auf den 
Release-Wechsel. Die Fachabteilung 
stellte Anforderungen, die IT setzte sie 
in einer neuen Release um. Das ist 
selbst im BPM noch gang und gäbe, 
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REPORT 


Geschäftsregeln 


obwohl man heute typischerweise 
streng zwischen dem fachlichen und 
technischen Design von Prozessmo- 
dellen trennt. BRM ist schon weiter: 
Systeme wie Visual Rules von Innova- 
tions bieten Werkzeuge an, mit deren 
Hilfe Angestellte aus den Fachabteilun- 
gen aktiv im BRM-Prozess mitwirken 
können. 

Änderungen an den Regeln sind „die 
Regel“, wie eine Studie der IDC unter- 
streicht (Kasten „Nicht in Stein gemei- 
Belt‘). Die Möglichkeit, Geschäftsregeln 
außerhalb der Release-Zyklen schnell an 
neue Gegebenheiten anzupassen, setzt 
einen durchgehenden Total-Quality- 
Management-Prozess (TOM) mit kla- 
ren Verantwortlichkeiten voraus. Die- 
ser muss sowohl die Bedürfnisse 
hinsichtlich der fachlichen Umsetzung 
der Regeln als auch die technischen 
Anforderungen der IT hinsichtlich auto- 
matisierter Test-, Freigabe- und Deploy- 
ment-Verfahren erfüllen. 

Wichtig ist in diesem Zusammen- 
hang, eine Historie der Regeln zu erstel- 
len und sie im Sinne eines Performance- 
Management zu messen. Beispiel: Ein 
Gesetz kommt im März mit Rückwir- 
kung zum Januar und wird als Regel 
im April eingerichtet. Das bedeutet, 
dass das Unternehmen es auf den Zeit- 
raum von Januar bis März anwenden 
kann, aber nicht muss. Nun lässt sich 
simulieren, für welche Fälle das alte 
oder das neue Gesetz einen höheren 
Nutzen bringt. 


Eigenes Leben 
für Geschäftsregeln 


Erst die Unterstützung im gesamten 
BR-Prozess durch ein BRM-System 
erlaubt schnelle und sichere Regel- 
änderungen während des laufenden 
Betriebs. Das gewährleisten insbeson- 
dere die weitreichenden Testfunktio- 
nen, die automatisch erstellte, stets ak- 


Geschäft 


Prozesslogik 
« Workflows 
* Zustände 

* Ereignisse 


Entscheidungslogik 
® Gesetze 

* Richtlinien 

* Vorschriften 

* Bedingungen 

* Berechnungen 


Geschäftsvokabular 
« Geschäftsobjekte 
* Parameter 

* Referenzdaten 


Geschäftsregeln verwenden dasselbe Vokabular wie die Prozesse, unterliegen 
aber einem eigenständigen Management (Abb. 1). 


tuelle Dokumentation und die einfache 
Nachvollziehbarkeit der Regeln durch 
Fach- sowie IT-Abteilung. Als große 
Schwachstelle im BPM gilt das Repo- 
sitory, an dieser Stelle können die 
BRM-Anbieter ihre Stärke ausspielen. 
Fazit: Regeln haben ihren eigenen Le- 
benszyklus, der ein neues Manage- 
ment jenseits traditioneller Release- 
Verfahren erfordert. 

Praktische Erfahrungen mit diesem 
Ansatz sprechen für sich (Abbildung 3). 
Die Post Finance in Bern setzt bei der 
Umsetzung des Geldwäschegesetzes 
(GwG) auf Visual Rules von Inno- 
vations. Das BRM basiert auf einem 
definierten Prozess, der die Schritte 
„Änderungsantrag“, „Bewilligung und 
Freigabe der Änderung“, „Dokumenta- 
tion der Regel“ und die Aktivierung um- 
fasst. Die Gesamtverantwortung für den 
Prozess liegt bei der Fachabteilung 
Compliance. Hier gibt es eine Gruppe, 


verschaffen. 


A-TRACT 


© Prozessorientierte Unternehmen zeichnen sich aus durch konsequentes Denken und 
Handeln in Geschäftsabläufen und -regeln. 


© Durchgänge Geschäftsprozesse sollen einerseits einen hohen Industriealisierungs- 
grad bewirken, andererseits der Organisation flexiblen Handlungsspielraum 


© Business Rules Management und Business Prozess Management in einer service- 
orientierten Architektur beeinflussen nicht nur die Geschäftsprozesse, sondern auch 
die Softwareentwicklung, starre Release-Zyklen können entfallen. 
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die sich um die Weiterentwicklung der 
Compliance-Methoden sowie um die 
Verbesserung und Kontrolle der benö- 
tigten Werkzeuge kümmert. Der Verant- 
wortliche für die Tools ist auch zustän- 
dig für den BRM-Prozess. 

Die GwG-Szenarien, die per BRM 
umgesetzt werden sollen, arbeitet er in 
Zusammenarbeit mit dem Leiter Com- 
pliance aus, der auch die formelle Frei- 
gabe erteilt. Letzteres soll künftig ein 
Konzernausschuss erledigen. Das Mo- 
dellieren und Testen liegt in der alleini- 
gen Obhut des BRM-Verantwortlichen, 
ebenso wie die Überwachung der akti- 
ven Szenarien. Die IT ist nur gefragt, 
wenn es um das Einführen neuer Para- 
meter für das Regelwerk geht, und die 
Testabteilung überprüft bei Release- 
Wechseln einige Funktionen. 

Zusätzlich läuft in der Abteilung 
Compliance ein Reporting, das Unre- 
gelmäßigkeiten im Laufe einer Woche 
sicher erkennt. Der BRM-Verantwort- 
liche und sein Team betreuen außer- 
dem die operational tätigen Mitarbei- 
ter im Umgang mit den Auswirkungen 
der Szenarien. Hier lassen sich Un- 
klarheiten und Unschärfen identifizie- 
ren. Seit dem Einsatz des Systems im 
Jahr 2005 sind bisher keine fehlerhaf- 
ten Konstellationen in den Prozessen 
entstanden. 

Zu Änderungen an den Szenarien 
kommt es alle zwei bis drei Monate. Da- 
bei vergehen zwischen der Analyse und 
der Implementierung zwischen einer 
und drei Wochen. Schneller geht es bei 
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technisch bedingten Anpassungen, die 
den Wirkmechanismus der Szenarien 
nicht grundsätzlich ändern, der mini- 
male Implementierungszeitraum kann 
bis auf einen Tag schrumpfen. 


Klassische Verfahren 
zu starr 


Die HypoVereinsbank setzt Visual 
Rules in einem Frühwarnsystem für 
Kreditrisiken ein. Täglich analysiert es 
rund 800 Kapitalmarktadressen. Klas- 
sische Verfahren der Softwareentwick- 
lung sind nach Einschätzung der HVB 
zu starr und zu langsam, um ein Früh- 
warnsystem an die Marktdynamik 
anzupassen. Anstatt die Aufgaben auf- 
zuschreiben, sollen die fachlich Ver- 
antwortlichen ihre Regeln selbst in 
Entscheidungsbäumen grafisch model- 
lieren und mit echten Marktdaten tes- 
ten. Dieser Analyseprozess erleichtert 
das Feintuning erheblich. Für jeden 
Regelbaum wird im letzten Schritt der 
gesamte Programmcode automatisch 
generiert, dokumentiert, versioniert 
und in das Produktionssystem trans- 
portiert. Das Vorgehensmodell der 
HVB für dieses Projekt basiert auf 
zwei Säulen. 

Zunächst gibt es eine neue Arbeits- 
teilung zwischen IT und Fachbereich. 
Die Fachverantwortlichen entwickeln 
und warten das Frühwarnsystem selbst; 
die IT bereitet die Input-Daten als Basis 
für das Regelsystem auf und kümmert 


übernehmen 


ausfüllen )) überwachen 
Feedback Loops 


Lebenszyklusmanagement ist ein Prozess, der Regeländerungen im laufenden 


Betrieb zulässt (Abb. 2). 


PostFinance, Schweiz 


Sungard Futures Systems, USA 


MobileSelect, Australien 


Sungard Forbatec 


Mit einem BRM-System können 
Unternehmen Zeit gegenüber 
konventioneller Programmierung 
gewinnen (Abb. 3). 


sich um die Integration des generierten 
Codes in das Produktionssystem. 

Weiterhin gilt die sogenannte Con- 
tinuous Integration als Vorgehensmo- 
dell. Regeln lassen sich kurzfristig 
ergänzen und modifizieren, tägliche 
Releases ermöglichen die kontinuier- 
liche Weiterentwicklung. Codegenerie- 
rung, Dokumentation und Deployment 
erfolgen automatisch. 

Der klassische Software-Release- 
Zyklus von Konzeption, Realisierung, 
Test mit begleitender Qualitätssiche- 
rung und Dokumentation ändert sich 
mit dem Einsatz eines BRM-Systems. 
Da die Beteiligten direkt mit dem Mo- 


Nicht in Stein gemeißelt 


Geschäftsregeln sind naturgemäß nicht für 
die Ewigkeit gemacht, sie können sich so- 
gar schnell ändern. Hier ein Beispiel aus 
der Portfolioanalyse einer Privatbank: 


„Wenn die Fälligkeiten des Kunden größer 
als 50 000 Euro sind und die Bank ein Kun- 
denmandat besitzt, dann reinvestiere die 
Fälligkeiten umgehend.“ 


„Wenn die Fälligkeiten des Kunden größer 
als 50 000 Euro sind und die Bank kein 
Kundenmandat besitzt und der Kunde kon- 
taktiert werden kann, dann rufe ihn an.“ 


„Wenn die Fälligkeiten des Kunden größer 
als 50 000 Euro sind und die Bank kein 
Kundenmandat besitzt und der Kunde nicht 
kontaktiert werden kann, dann befrage ihn 
beim nächsten Kontakt.“ 


„Wenn die Fälligkeiten des Kunden größer 
als 100 000 Euro sind, dann zeige einen 
Hinweis auf dem Portal des Kundenbe- 
raters an.“ 
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‚Änderungseinsparung 


dellieren der Regeln beginnen, verkürzt 
sich die Konzeptionsphase deutlich. 
Bereits hier legen sie Testdaten und 
Referenzergebnisse fest. Dieser Ansatz 
ermöglicht ein iteratives Vorgehen bei 
der Definition der Geschäftsregeln (ins- 
besondere bei komplexen Regeln un- 
verzichtbar) und legt die Grundlage für 
die automatisierten Testverfahren im 
TQM. Eine Kodierung entfällt kom- 
plett, und damit erledigen sich auch die 
Abstimmungsschleifen zwischen Fach- 
bereich und IT. 

Statt eines traditionellen Release- 
Verfahrens entsteht so ein dynami- 
sches, kontinuierliches Lebenszyklus- 
Management der Geschäftsregeln. 
Interessanterweise entspricht dieses 
Verfahren einem der Grundprinzipien 
des sogenannten Web 2.0. Eine der 
Thesen von Tim O’Reilly, der den Be- 
griff mit geprägt hat, besagt, dass der 
traditionelle Software-Release-Zyklus 
am Ende ist. Der Open-Source-An- 
spruch „release early and release of- 
ten“ hat sich seiner Ansicht nach zu 
einer radikaleren Idee gewandelt: die 
permanente Beta-Version, in die der 
Entwickler neue Funktionen auf einer 
monatlichen, wöchentlichen oder gar 
täglichen Basis einfügt. BRM erfüllt 
dieses Paradigma nicht nur - es er- 
laubt sogar ein kontinuierliches Le- 
benszyklus-Management in kontrol- 
lierter Form als Kollaborationsmodell 
für Fachbereiche und IT. (jd) 


DR. WOLFGANG MARTIN 


ist ein europäischer Experte auf den 
Gebieten BI/CPM, BPM, SOA und 
CRM. & 
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Jubiläum 


m 4. Oktober 1957 schoss die So- 
A: um 22:28 Uhr GMT 
den ersten künstlichen Satelliten 
in eine Erdumlaufbahn. Sputnik (Gefähr- 
te) genannt, besaß dieser Satellit nichts 
weiter als einen robusten Radiosender, 
dessen Piepsen Funkamateure in aller 
Welt empfangen konnten. „Erster!“, sig- 
nalisierte das Piepsen den Amerikanern. 
Drei Wochen lang funkte der Radio- 
sender im Sputnik sein 4 Sekunden lan- 
ges Piepsen auf den Frequenzen von 20 
und 40 MHz. Dann waren die ihn in 
Form einer Mutter umgebenden Silber- 
Zink-Batterien leer und die kleine, 83,6 
Kilogramm schwere Kugel mit vier 
Antennen sauste um die Erde, bis sie 
am 4. Januar 1958 beim Wiedereintritt 
in die Erdatmosphäre verglühte. Als 
Reaktion auf den Sputnik starteten die 
USA ein insgesamt 25,4 Milliarden 
Dollar teures Forschungsprogramm, 
das die „Schmach des Sputniks“ (so 
Präsident John F. Kennedy) erst mit der 
Mondlandung von Neil Armstrong am 
21. Juli 1969 ausgleichen konnte. Auf 
dem Weg dorthin wurde auch das 
Internet erfunden. 


Gute Gelegenheit 


Verantwortlich für den Wettlauf der Sys- 
teme war auf der amerikanischen Seite 
ARPA, die Advanced Research Projects 
Agency. Sie wurde mit dem Befehl 
5105.15 des Verteidigungsministeriums 
am 7. Februar 1958 gegründet und nahm 
bereits im März ihre Arbeit auf. Die zeit- 
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liche Abfolge suggeriert, dass die ARPA 
in Reaktion auf den Sputnik entstand, 
doch dies darf man im Licht neuer histo- 
rischer Forschungen als Mythos abtun. 
Der piepsende Satellit war für eine 
Gruppe von einflussreichen Planern 
um Vannevar Bush, James Conant und 
James Kilian nur eine hervorragende 
Gelegenheit, schneller die Forschungs- 
agentur ins Leben zu rufen, die gegen 
die Sowjetunion antreten sollte. 

Bereits 1950 hatten sich Bush, Cove- 
nant und Kilian besorgt darüber geäu- 
Bert, dass die amerikanischen Studenten 
die falschen Fächer studierten. 7,8 Milli- 
onen heimgekehrte Weltkriegssoldaten 
machten von der sogenannten „G. I. 
Bill“ Gebrauch und studierten vor allem 
geisteswissenschaftliche und ökonomi- 
sche Fächer. Mit harten Wissenschaften, 
gar mit Rüstungsforschung, wollten die 
Heimkehrer nichts zu tun haben. Um 
den Ernst der Entwicklung zu verdeut- 
lichen, gab James Conant, damals Lei- 
ter des National Science Bureaus, eine 
Studie bei Nicholas De Witt von der 
Universität Harvard in Auftrag. 

De Witt untersuchte 1954 das sowjet- 
russische Universitätssystem und ver- 
öffentlichte 1955 seine alarmierenden 
Ergebnisse: „Wir verlieren den neuen 
Krieg. Wir verlieren ihn, weil wir im 
Rennen verloren haben, mehr und bes- 
sere Ingenieure und Wissenschaftler zu 
produzieren als die Kommunisten.“ Mit 
Ergebnissen dieser Studie bewaffnet, 
leistete James Kilian, Präsident des 
Massachusetts Institute of Science 
(MIT) die Lobbyarbeit und sorgte als 


50 Jahre ARPA 
Beim Schopf 
gepackt 


Detlef Borchers 


Dass das Internet als Reaktion auf den 
Sputnik-Schock entstand und atomkriegsicher 
sein sollte, sind zwei immer wieder gern 
erzählte Geschichten. Die Wirklichkeit ist 
wie so oft ein wenig komplexer. 


Wissenschaftsberater des Präsidenten 
Eisenhower dafür, dass eine Agentur für 
Spitzenforschung aufgebaut wurde. 
Nach dem Flug des ersten Sputniks 
nannte man Kilian zwar nur noch „Ra- 
ketenzar‘“, doch hatte dieser die Pläne 
für den Aufbau der ARPA längst abge- 
zeichnet, als das Piepsen begann. 


Computerzar 
und Raketenzar 


Mit gleichem Recht hätte man den ge- 
lernten Journalisten Kilian auch als 
„Computerzar“ bezeichnen können, 
denn unter seiner Ägide entwickelten 
Wissenschaftler am MIT das Prinzip 
des Timesharing zur besseren Ausnut- 
zung von Rechnerkapazitäten. Etliche 
Millionen Dollar flossen in das von Ki- 
lian befürwortete Project MAC (Multi 
Access Computer), für das der Psycho- 
loge J.C.R. Licklider gewonnen wur- 
de. Ein weiteres wichtiges, noch von 
Kilian angestoßenes Projekt war die 
Entwicklung eines Satelliten-Kommuni- 
kationsnetzwerkes. Als Leiter des Tech- 
nological Capabilities Panel (TCP) der 
CIA (diese Position wurde geheim ge- 
halten) war er frühzeitig mit Über- 
legungen beschäftigt, dass Ausspähen 
der Sowjetunion mittels der U2-Lang- 
streckenflieger durch Satelliten zu er- 
setzen, die Daten in verschlüsselten 
Päckchen empfangen und senden soll- 
ten. Als größte Leistung Kilians wird 
heute bewertet, 1960 aus der ARPA 
die NASA als Langzeitprojekt heraus- 
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gelöst und über die ARPA kleinere, ge- 
zielt forschende Projekte verwaltet zu 
haben. So entstand beispielsweise das 
Projekt Vela, mit dem Ziel, Atombom- 
bentests auf der ganzen Welt zu messen. 

Aus den Forschungen für das Satel- 
litenkommunikationsnetz entwickelte 
der bereits erwähnte Psychologe Lick- 
lider seine Idee eines „Intergalactic 
Computer Network“, eines weltum- 
spannenden Kommunikationsnetzes für 
die Forschungsrechner der ARPA. Bei 
den ersten Entwürfen beruhte dieses 
Netz, das als Weiterentwicklung der 
paketbasierten Satellitenkommunika- 
tion gesehen wurde, auf den Ideen zum 
Timesharing-System, wo ein Task auf 
dem Host die Steuerung der Kommuni- 
kation übernehmen sollte. Als das so- 
genannte ARPAnet schließlich an den 
Start ging, übernahmen kleinere dezi- 
dierte Kommunikationscomputer na- 
mens Interface Message Processors 
(IMP) diese Aufgabe. 

Im Sommer 1968 schrieb die ARPA 
den Auftrag zur Entwicklung dieses Spe- 
zialcomputers aus. 140 Firmen wurden 
angeschrieben, darunter solche Riesen 
wie IBM, Univac und Honeywell, aber 


auch Newcomer wie DEC. Den Auftrag 
holte sich schließlich die kleine Bolt 
Beranek und Newman (BBN) in Cam- 
bridge/Massachusetts, eine Ausgrün- 
dung von MIT-Forschern — das ARPA- 
net und später das Internet konnten 
entstehen. Im Kontext des Kalten Krie- 
ges ist die Entstehung dieses Computer- 
netzwerkes ein Produkt des Forschungs- 
wettlaufes mit der Sowjetunion, ein 
Nebenprodukt von Atomtechnologie und 
Weltraumfahrt. 

In einer der ersten Erwähnungen zum 
Aufbau des ARPAnets schrieb die Time, 
dass das Netz es Wissenschaftlern gestat- 
ten sollte, beim Ausbruch eines Atom- 
kriegs in Kontakt zu bleiben. Offenbar 
hatte der Reporter sich von der Darstel- 
lung eines paketbasierten Netzwerkes in- 
spirieren lassen, in dem Datenpäckchen 
über verschiedene IMP-Knoten zum Ziel 
gelangen. Weder in den Ausschreibungs- 
unterlagen noch in den verschiedenen 
internen Memoranden zum Netz findet 
sich der Begriff Atomkrieg. Doch hart- 
näckig hält sich die Idee vom Netz, das 
Atomschläge überleben sollte, genau wie 
die Geschichte vom Sputnik und der 
Gründung der ARPA. (JS) 


DETLEF BORCHERS 


ist freier DV-Journalist und arbeitet für 
deutsche und amerikanische Fachzeit- 
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REPORT 


Recht 


Juristische Aspekte von Produktsperren 


Etappenweise 


Tobias Haar 


Häufig bauen Hersteller technische 


Sperren in ihre Produkte ein - 
meist, um dadurch ihre Kauf- 
preisansprüche abzusichern 


oder die Nutzung ihrer Produkte 


zu kontrollieren. Wer Software- 


sperren verwendet, bewegt sich aber 
in einer juristischen Grauzone mit 


einigen Tücken. 


pple ist mit dem iPhone mal wie- 
R: ein kommerzieller Genie- 
streich gelungen. Das Gerät ver- 
kauft sich bestens und viele mehr wollen 
es haben. Neben Apple möchten aber 
auch die Mobilfunkgesellschaften von 
diesem Hype profitieren. Deswegen ver- 
sehen sie das Gerät selbst bei Abschluss 
eines längerfristigen Vertrages mit ei- 
nem SIM-Lock, das die Benutzung mit 
einer anderen SIM-Karte unterbindet. 
Die Bindung an den Mobilfunkan- 
bieter — der Apple einen gewissen Pro- 
zentsatz an den mit dem Gerät erzielten 
Umsätzen zahlen muss - ist damit per- 
fekt. Bei der exklusiven Vereinbarung 
zwischen Apple und T-Mobile für die 
Vermarktung des iPhones in Deutsch- 
land gehen einige von einer Umsatzbe- 
teiligung in Höhe von zehn Prozent 
aus. In Deutschland ist das Anbieten 
von SIM-Lock-gesperrten Mobiltelefo- 
nen rechtlich nicht zu beanstanden, so- 
lange die Kunden darauf hingewiesen 
werden und dies den Gegebenheiten 
des Marktes entspricht. Eine einstwei- 
lige Verfügung zwang T-Mobile erst 
zur Lockerung seiner Vertragsbedingun- 
gen für das iPhone, das daraufhin auch 
mit SIM-Karten anderer Anbieter funk- 
tionieren sollte. Doch das Hamburger 
Landgericht entschied, dass die exklu- 
sive Bindung an T-Mobile zulässig sei. 
Kurz nach der Veröffentlichung des 
iPhone wurden in den USA die ersten 


110 


Hackerangriffe auf die SIM-Locks 
veröffentlicht und die ersten SIM-Lock- 
freien Geräte bei eBay angeboten. In al- 
len Fällen ging Apple mit juristischen 
Mitteln dagegen vor. Andererseits ver- 
klagten Nutzer das Unternehmen vor 
kalifornischen Gerichten wegen einer 
Verletzung des Wettbewerbsrechts 
durch Einbau der SIM-Sperre. 


Andere Länder - 
andere Rechtslage 


In Frankreich verlangt das Gesetz den 
Vertrieb SIM-Lock-freier Geräte. Die- 
se werden dann zwar vermutlich zu hö- 
heren Preisen vertrieben, aber es gibt 
sie. Auch bei subventionierten Handys 
mit SIM-Lock verlangt das französi- 
sche Recht, dass diese auf Wunsch des 
Kunden zu entsperren sind. Der Anbie- 
ter darf dafür nur in den ersten sechs 
Monaten ab Vertragsschluss eine Bear- 
beitungsgebühr verlangen. 

Diese Beispiele verdeutlichen, mit 
welchen kommerziellen Interessen und 
rechtlichen Schwierigkeiten man bei 
der Durchsetzung seiner Interessen mit 
technischen Sperren rechnen muss — sei 
es im Massengeschäft oder im Bereich 
hochwertiger Investitionsgüter. 

Mit softwaretechnischen Nutzungs- 
und Verwendungssperren lassen sich 
auch in anderen Bereichen Interessen 


durchsetzen. So gibt es Hersteller hoch- 
wertiger Produktionsanlagen, die ihre 
Produkte mit Softwaresperren oder 
schlüsselabhängigen Aktivierungsmecha- 
nismen versehen. Ist ein Käufer wegen 
der hohen Anschaffungskosten nicht in 
der Lage, den gesamten Kaufpreis auf 
einmal zu zahlen, kann er mit dem Her- 
steller Ratenzahlung vereinbaren. 

Wenn aber die Anlage oder Maschine 
in ein Land geliefert werden soll, in dem 
es im Zweifel keinen wirklich effektiven 
Rechtsschutz zur Durchsetzung noch of- 
fener Forderungen - also beispielsweise 
der Ratenzahlungen oder alternativ der 
Rücknahme der noch nicht bezahlten 
Kaufsache — gibt, muss man sich eben 
andere Mittel zum Schutz seiner An- 
sprüche einfallen lassen. Der Ver- 

käufer könnte die verkaufte 

Anlage mit einer zeitlich befris- 
teten Softwareaktivierung versehen, 
die es dem Käufer erlaubt, die Anlage 
nur bis zur Fälligkeit der nächsten Rate 
in vollem Umfang zu nutzen. Bezahlt 
der Käufer pünktlich, erhält er einen 
Freischaltcode, nach dessen Eingabe 
die Anlage wieder eine Zeit lang läuft, 
bis bei der nächsten Fälligkeit wieder 
ein neuer Code erforderlich wird. Und 
so weiter. 

Alternativ dazu kann man auch vor- 
sehen, dass sich ohne Eingabe eines 
neuen Codes die Performance der Ma- 
schine verlangsamt und sie weniger pro- 
duziert. Daneben bietet sich an, ohne 
Code bestimmte nützliche Features der 
Anlage abzuschalten, bis die Rate be- 
zahlt ist. Je nach Art der verkauften Gü- 
ter und Höhe der durchzusetzenden For- 
derungen sind weitere Spielarten dieser 
Methode zur Durchsetzung von Forde- 
rungen denkbar. Rechtlich sind sie je- 
doch alle bedenklich, wenn man bei der 
Vertragsgestaltung nicht aufpasst. 

Nach dem Kaufvertragsrecht ist der 
Verkäufer verpflichtet, dem Käufer die 
Sache zu übergeben und ihm Eigentum 
daran zu verschaffen. So steht es in Pa- 
ragraph 433 des Bürgerlichen Gesetzbu- 
ches. Weiter heißt es dort, dass die ver- 
kaufte Sache frei von Mängeln sein 
muss. Ein Mangel liegt dann vor, wenn 
der Käufer die Sache nicht so nutzen 
kann, wie es vertraglich vereinbart wur- 
de. Man spricht unter Juristen in so ei- 
nem Fall von einer für den Käufer un- 
günstigen Abweichung der Ist- von der 
Sollbeschaffenheit. 

Kann ein Käufer eine Anlage nach 
Ablauf einer gewissen Zeit nicht mehr 
nutzen, ist diese Sache mangelhaft. 
Denn der Verkäufer hat im Vertrag ja 
eine dauerhaft nutzbare Anlage verspro- 
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chen. Erfüllt sie diese Voraussetzungen 
nicht und ist daran bei Einbau einer 
Softwaresperre der Verkäufer schuld, 
kann der Kunde ihn wegen Mängeln der 
verkauften Sache in Anspruch nehmen. 
Der Käufer kann Ersatz der mangelbe- 
hafteten durch eine mangelfreie Anlage 
verlangen, vom Kaufvertrag zurücktre- 
ten oder den Kaufpreis mindern sowie 
Schadensersatz verlangen — und das 
kann bei Produktionsanlagen, die länge- 
re Zeit nicht produzieren können, belie- 
big teuer werden. 

Da ein Mangel aber nur vorliegt, 
wenn die Kaufsache nicht derjenigen 
entspricht, die im Kaufvertrag beschrie- 
ben wurde, liegt kein Mangel vor, 
wenn sich die Vertragsparteien auf die 
Vereinbarung etwa von Ratenzahlung 
und daran gekoppelte Softwaresperren 
verständigen. Steht im Kaufvertrag 
ausdrücklich, dass die gekaufte Anlage 
nur für eine bestimmte Zeit läuft, dann 
einen neuen Freischaltcode benötigt, 
den es nur gibt, wenn der Käufer die 
entsprechende Rate zahlt, ist juristisch 
alles in bester Ordnung. 


Vorsicht AGB-Falle 


Aber Vorsicht. Bei Standardverträgen ist 
auch das nicht so ohne Weiteres der 
Fall. Wenn der Verkäufer in seinen all- 
gemeinen Geschäftsbedingungen - viel- 
leicht sogar noch an etwas versteckter 
Stelle — vorsieht, dass er bei Nichtzah- 
lung die Anlage außer Betrieb setzen 
kann, hilft ihm das nicht. Denn nach 
dem strengen deutschen AGB-Recht 
handelt es sich in einem solchen Fall um 
eine unwirksame, weil überraschende 
Klausel, auf die sich der Verkäufer nicht 
berufen kann. Steht die Anlage dann 
still, geht die Rechtsprechung konse- 
quenterweise von einem Mangel aus, für 
den der Verkäufer wie beschrieben ge- 
radestehen muss. Nicht genug, dass er 
seine Kaufpreisforderung nicht wirksam 
durchsetzen konnte, es drohen ihm 
außerdem schmerzhafte finanzielle For- 
derungen des Käufers. 

Juristische Auseinandersetzungen 
sind ebenfalls vorprogrammiert, wenn 
der Verkäufer den Freischaltcode zu 
spät oder gar einen falschen verschickt. 
Auch dann kann sich der Käufer beim 
Verkäufer für seine Schäden schadlos 
halten — jedenfalls soweit, wie die Haf- 
tung des Käufers nicht wirksam nach 
dem Kaufvertrag beschränkt wurde. 

Eine wichtige Rolle spielt in solchen 
Fällen die Frage, welches Recht auf ei- 
nen Kaufvertrag anzuwenden ist. Schlie- 
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ßen zwei Unternehmen aus verschiede- 
nen Ländern einen Kaufvertrag, sollten 
sie sich darin einigen, welche der beiden 
nationalen Rechtsordnungen für ihren 
Vertrag gelten soll. Andernfalls muss 
man auf der Basis der Regeln des soge- 
nannten Internationalen Privatrechts klä- 
ren, welche Rechtsordnung etwa bei 
Mängeln Anwendung findet. Eine wei- 
tere Besonderheit stellt das sogenannte 
UN-Kaufrecht dar. Bei ihm handelt es 
sich um ein „Spezial-Kaufrecht‘“, das für 
alle internationalen Kaufverträge gilt, 
wenn Käufer und Verkäufer ihren Sitz 
in Ländern haben, die jeweils das UN- 
Kaufrecht ratifiziert haben. Deutsches 
und UN-Kaufrecht unterscheiden sich 
aber kaum voneinander. Im Bereich der 
Softwaresperren sind die Ergebnisse der 
rechtlichen Bewertung meist gleich. 

Kein rechtliches Problem entsteht, 
wenn der Hersteller einem Kunden im 
Rahmen eines Schnupperangebotes 
Software kostenlos für einen bestimm- 
ten Zeitraum überlässt und diese da- 
nach nur noch genutzt werden kann, 
wenn der Interessent einen entgelt- 
pflichtiger Aktivierungscode erwirbt. 

Unkomplizierter aus juristischer Sicht 
sind auch Maßnahmen, wie sie jetzt 
beim 100-Dollar-Laptop geplant sind. 
Dort sollen Geräte mittels ferngesteu- 
erter Softwaresperren deaktiviert wer- 
den können, wenn diese in falsche Hän- 
de geraten, sprich geklaut werden. 
Bittet der Käufer den Verkäufer um 
Aktivierung einer solchen Sperre, kann 
selbstverständlich kein Mangel vorlie- 
gen. Dies wäre höchstens der Fall, 
wenn die Sperre trotz vertraglicher 
Vereinbarung in Wirklichkeit gar nicht 
funktioniert oder sie ein Dieb durch 
einfachste Mittel umgehen könnte. 
Verkauft jemand aber einen solchen 
Laptop legal weiter und die Sperre ist 
aktiviert, droht dem Weiterverkäufer, 
dass man ihn auf Gewährleistung in 
Anspruch nimmt. 

Wenn eine Softwaresperre juris- 
tisch nicht zu beanstanden ist, darf ein 
Käufer sie auch nicht ohne Weiteres be- 
seitigen. Apple geht mit technischen und 
juristischen Mitteln gegen die Hacker 
von iPhones vor. Updates enthalten eine 
Funktion, die das iPhone nach einem 
Hacking wieder mit einer Software- 
sperre versieht. Nach Entfernen der 
Sperre aufgespielte Programme werden 
deaktiviert, die Geräte teilweise in den 
Auslieferungszustand zurück versetzt. 

Wer den Quellcode der Steuerungs- 
software auf den iPhones (oder in je- 
dem anderen softwaregesteuerten Ge- 
rät) knackt und bearbeitet, verstößt 


damit gegen das Urheberrechtsgesetz. 
Neben Ansprüchen auf Unterlassung 
und Schadensersatz drohen in einigen 
Fällen auch Geld- und Freiheitsstrafen. 
In Einzelheiten bestehen hier durchaus 
Unterschiede zwischen den gesetzlichen 
Regelungen der verschiedenen Länder. 
Ist ein Produkt rechtswidrigerweise mit 
einer Softwaresperre versehen, muss 
der Käufer vom Verkäufer die Beseiti- 
gung der Sperre verlangen und notfalls 
einklagen. Eine eigenmächtige Beseiti- 
gung der Sperre im Wege der Selbst- 
Justiz kommt nur in Not- und Ausnah- 
mefällen in Betracht. 

Neben rein kommerziellen Forderun- 
gen können auch andere Interessen mit- 
hilfe von Softwaresperre und Aktivie- 
rungszwang durchgesetzt werden. Wenn 
ein Softwarehersteller eine Registrie- 
rung seiner Produkte verlangt, kann er 
die installierte Software nach Ablauf ei- 
ner gewissen Zeit einfach lahmlegen, 
wenn der Nutzer sie nicht nach erfolgter 
Registrierung mit einem Freischaltcode 
füttert. Oder ein Softwarehersteller ist 
an den persönlichen Daten der Nutzer 
interessiert. Neben den kaufrechtlichen 
Erwägungen kommt hier noch hinzu, 
dass es möglicherweise sittenwidrig 
sein kann, wenn ein Verkäufer die un- 
eingeschränkte Nutzung seiner Produk- 
te von der Bereitstellung entsprechen- 
der Daten abhängig macht. Diskutiert 
wurde das unter Juristen beispielsweise 
im Zusammenhang mit Werbeeinblen- 
dungen im Gegenzug für kostenlose 
Telefongespräche. 


Fazit 


Wer den Aufwand der Durchsetzung 
von Forderungen mithilfe staatlicher Ge- 
richte und anderer Einrichtungen scheut 
oder Angst haben muss, dass in be- 
stimmten Ländern Forderungen einfach 
nicht durchsetzbar sind, sollte über die 
Verwendung von Softwaresperren nach- 
denken. Bei der Gestaltung der entspre- 
chenden Verträge ist aber Vorsicht ange- 
zeigt. Nur wenn die Softwaresperre klar 
beschrieben ist und auch entsprechend 
den Vereinbarungen genutzt wird, ist 
man rechtlich auf der sicheren Seite. In 
anderen Fällen drohen Schadensersatz- 
forderungen und eine Verurteilung zur 
Beseitigung der Softwaresperre. (ur) 


TOBIAS HAAR, LL.M., 
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REPORT 


IT und Klimaschutz 


ie Analysten von Gartner haben 
DM kürzlich „Grüne IT“ auf Platz 

eins der wichtigsten strategischen 
Technologien für 2008 gesetzt. Rechen- 
zentrumsbetreiber sollten, so die Emp- 
fehlung der Marktforscher, möglichen 
gesetzlichen Regulierungen mit eige- 
nen Strategien zuvorkommen. Denn 
zwischen 2000 und 2005 habe sich der 
Stromverbrauch von Servern in den 
USA verdoppelt. Die Informationstech- 
nik zeichnet für zwei Prozent des globa- 
len CO,-Ausstoßes verantwortlich und 
liegt damit auf dem Niveau des interna- 
tionalen Flugverkehrs, schätzt Gartner. 


Effizientere 
Prozesse mit IT 


Zwar ist die Rolle von IT und Internet 
zweischneidig: Zum einen Stromfresser 
und CO,.Verursacher, zum anderen 
Lösungslieferant für Unternehmen, die 
ihre Prozesse mithilfe von IT umwelt- 
verträglicher und effizienter gestalten 
können. Dennoch ist Konsens, dass die 
IT-Branche einen Beitrag zur Entlas- 
tung der Umwelt leisten muss, und 
auch die höchste politische Ebene hat 
die Relevanz erkannt. So organisierte 
das Bundesumweltministerium gemein- 
sam mit dem Institut für Zukunftsstu- 
dien und Technologiebewertung (IZT) 
den Workshop „Grüner Surfen - Per- 
spektiven für eine energieeffiziente 
Nutzung des Internets“ mit dem Ziel, 
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Herstellerstrategien gegen Energieverschwendung 


Grüner surfen 


Barbara Lange 


Rechenzentren und Netzinfrastruktur verbrauchen zu viel 
Energie. IT-Hersteller und Politik entwickeln dagegen Pläne, 
die sowohl das Klima als auch die Umsätze retten sollen. 


Provider, Hersteller, politische Verant- 
wortliche und Nutzer zunächst einmal 
für dieses Thema zu sensibilisieren und 
Erfahrungen auszutauschen. 

Als Referenten traten Vertreter von 
Sun Microsystems, T-Com, Cisco, Stra- 
to, Igel, Nine Internet Solutions, Bitkom 
und Verbraucherverbänden auf. 

Dr. Ulf Jaeckel, Leiter des Referats 

„Produktbezogener Umweltschutz, Nor- 
mung“ im BMU, gab den 45 Teilneh- 
mern aus Politik, Wirtschaft und Wissen- 
schaft einen Überblick über die Pläne der 
Bundesregierung. In den nächsten Jah- 
ren will man intelligente Messverfahren 
entwickeln, mit denen die Hersteller ihre 
Produkte kennzeichnen. Perspektivisch 
sollen Bund, Länder und Gemeinden nur 
noch energieeffiziente Produkte kaufen. 
Hierfür erarbeitet man derzeit gemein- 
sam mit dem Branchenverband Bitkom 
einen Leitfaden. Denkbare Maßnahmen 
wären auch ein geringerer Mehrwert- 
steuersatz für sparsame Geräte. 
Als Haupt-Stromverbraucher gelten die 
Rechenzentren, denn Server, Netzwerk 
und Kühlung brauchen viel Energie, ar- 
beiten aber oft ineffizient. Eines der 
vielen Probleme dabei ist die Auslas- 
tung der Infrastruktur, die häufig nur 
bei 15 Prozent liegt. 


Rechenzentren mit 
schlechter Auslastung 


Allein durch den Einsatz vorhande- 
ner Technologien könnte man den 
Stromverbrauch halbieren, rechnete Jae- 
ckel vor. Den Versuch, die Watt-, CO>- 
und Euro-Rechnerei vorstellbar zu ge- 
stalten, unternahm Rolf Kersten von 
Sun Microsystems. Nach seinen Be- 
rechnungen entstehen für eine Kilo- 
wattstunde Strom in Deutschland 600 
Gramm Kohlendioxid. 


Auf der Basis dieses Verhältnisses 
braucht eine Google-Abfrage vier Watt- 
stunden und erzeugt drei Gramm CO, 
pro Suchabfrage. Gar nicht mal so 
schlecht, denn die Infrastruktur von 
Google sei mit einer Auslastung von 
93 Prozent gut optimiert, im Gegen- 
satz etwa zu den Servern von Linden 
Labs. Ein Second-Life-Avatar braucht 
in einem Jahr — wenn er immer online 
ist — 195 kWh und atmet so viel CO, 
aus wie vier „richtige“ Menschen im 
gleichen Zeitraum. Der Stromverbrauch 
der PCs der Nutzer ist dabei nicht mit 
eingerechnet. 


Lösungsansatz 
Virtualisierung 


IT-Hersteller haben dies erkannt. Cis- 
co, mit dem kürzlich eröffneten The- 
menportal www.gruene-it.org enga- 
giert in Sachen „Grüne IT“, setzt auf 
Virtualisierung — ein Ansatz, der den 
Ausnutzungsgrad der Speicherkapa- 
zität von derzeit 30 auf bis zu 70 Pro- 
zent erhöhen kann. Beim Sparen hel- 
fen können auch Videokonferenzen, 
die die Reisetätigkeit eindämmen und 
die Arbeit virtueller Teams unterstüt- 
zen. Cisco unterhält derzeit 130 Tele- 
präsenz-Installationen. Damit habe das 
Unternehmen seinen eigenen CO;- 
Ausstoß um 10 Prozent verringern und 
die Reisekosten messbar senken kön- 
nen, so der Vertreter des Netzwerk- 
ausrüsters. 

Inwieweit es den Unternehmenslei- 
tungen bei ihren Maßnahmen um die 
Rettung der Erde geht, dürfte sich 
kaum feststellen lassen. Dass klima- 
schonendes Engagement als wichtiger 
Baustein des Image-Marketings ange- 
sehen wird, ist aber nahezu Konsens. 
Und auf jeden Fall wollen und müssen 
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Firmen ihre Energiekosten senken, um 
wettbewerbsfähig zu bleiben. 

Zum Beispiel Strato. Investitionsent- 
scheidungen werden dort seit zwei 
Jahren immer stärker durch die Frage 
der Energieeffizienz bestimmt, so Da- 
mian Schmidt, Vorstandsvorsitzender 
des Unternehmens, in seinem Vortrag. 
Wo 30 000 Server in zwei Rechenzen- 
tren täglich über 200 Millionen E-Mails 
empfangen und weiterleiten sowie 3,5 
Millionen Domains hosten, sei Ener- 
gie der höchste Kostenfaktor im RZ- 
Betrieb. 

In den vergangenen 18 Monaten 
konnte das Unternehmen durch eine 
Optimierung in den Bereichen Hard- 
und Software sowie Gebäudetechnik 
30 Prozent Energie sparen (iX berich- 
tete). Und: Ab 2008 will Strato zu 100 
Prozent Energie aus Laufwasserkraft 
nutzen. 

Nebenbei bemerkt: Wieviel CO, 
durch das Gesetz zur Vorratsdatenspei- 
cherung erzeugt werden wird, lässt sich 
noch nicht hochrechnen. Cisco zum Bei- 
spiel schätzt, dass nur vergleichsweise 
wenig Kapazitäten zusätzlich aufgebaut 
werden müssen. 

Abhängig wird dies unter anderem 
von der Wahl der Speichermedien sein 
(Band/Festplatte), die wiederum davon 
abhängt, wie die Behörden auf die be- 
vorrateten Daten zugreifen wollen. 

Zurzeit entsteht ein Kostendruck 
durch die Anschaffung der Hardware: 
Allein die Technik wird bis zu 75 
Millionen Euro kosten, schätzt Bitkom. 


Moderner Ablasshandel 
in der Kritik 


Einen anderen Ansatz verfolgt die Deut- 
sche Telekom. Der Stromverbrauch des 
Unternehmens steigt, und durch eine 
laufende Umstellung der Netze auf 
Internet-Technik gibt es wohl derzeit 
keine andere Chance, als Energiever- 
brauch und CO,-Emission zu entkop- 
peln, so Claudia Schwab, Leiterin 
Umweltschutz und Nachhaltige Ent- 
wicklung bei T-Com. Daher verfolgt 
das Unternehmen seit drei Jahren das 
Prinzip der Klimakompensation: Man 
berechnet den eigenen CO>-Ausstoß 
und finanziert ein Klimaschutzprojekt, 
meistens in Entwicklungsländern, das 
die eigene Emission ausgleicht. 

Diese von Kritikern als moderner 
Ablasshandel bezeichnete Methode der 
Klimaneutralisierung nutzt auch das 
Schweizer Unternehmen Nine Internet 
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Wer Videokonferenzen nutzt, muss nicht fliegen oder fahren: Cisco setzt auf 
TelePresence. 


Solutions, das 65 Tonnen CO, im Jahr 
allein durch sein Rechenzentrum produ- 
ziert. Zunächst versuchte man, den nach 
dem Einbau einer neuen Servergenera- 
tion explodierten Stromverbrauch durch 
Virtualisierung und Free-Cooling-Kühl- 
systeme zu optimieren, dann aber war 
nichts mehr drin. Durch eine Koope- 
ration mit dem Unternehmen Myecli- 
mate und eine Investition in Klima- 
schutzprojekte kompensieren sie ihren 
CO,-Ausstoß. 


Mehr als Stromsparen 


Den Energiebedarf senken können auch 
Thin Clients. Nach einer Studie des 
Fraunhofer Institut für Umwelt-, Sicher- 
heits- und Energietechnik (UMSICHT) 
verbrauchen sie mit 40 Watt, inklusive 
Serveranteil und Kühlung, nur halb so 
viel Energie wie voll ausgestattete PCs. 

Grüne IT ist mehr als Strom sparen. 
Noch zu oft werden die ökologischen 
Belastungen bei der Produktion und 
Entsorgung von Hightech-Geräten au- 
Ber Acht gelassen. Mit dem Recyceln 
von Elektroschrott in Ländern wie 


Indien, China und Südafrika beschäf- 
tigte sich unter anderem die Konferenz 
„Sustainable IT“, veranstaltet von New- 
thinking store GmbH und der Amina- 
Stiftung. Nach einem Vortrag von Mar- 
tin Streicher, Forschungsinstitut Empa 
in St. Gallen, belastet besonders in In- 
dien und China ein „Hinterhofrecycling“ 
Mensch und Umwelt. Elektroteile wer- 
den schlicht auf der Straße oder in 
Hinterhöfen ohne irgendwelche Schutz- 
maßnahmen auseinandergelötet und sor- 
tiert, so Streicher. In Südafrika sei das 
Recycling vergleichsweise am stärksten 
als offizielles Business etabliert. 

Einen Schwerpunkt wird die Grüne 
IT auch auf der Cebit 2008 haben. An- 
gekündigt sind ein spezielles Kongress- 
programm und eine „Green-IT-Vil- 
lage“, in der spezielle Lösungsansätze 
gebündelt sind, zum Beispiel ein „grü- 
nes Rechenzentrum“. (JS) 


BARBARA LANGE 


ist IT-Journalistin und Inhaberin 
des Redaktionsbüros kurz&einfach in 
Lengede. 


Blog von Rolf Kersten, Sun Microsystems 
Konferenz „Sustainable IT” 
Themenportal „Grüne IT" von Cisco 
Grüne IT als Top-Thema bei Gartner 


Thin-Client-Studien vom Fraunhofer 
Institut UMSICHT 


http://blogs.sun.com/rolfk 
www.sustainable-it.org 
www.gruene-it.org 
www.gartner.de/fokus/071042_10.html 


http://it.umsicht.fraunhofer.de/TCecology/ 
http: //it.umsicht.fraunhofer.de/PCvsTC/ 
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REPORT 


Netzsicherheit 


Königsweg Unified Threat Management? 


Multischutz 


Jörn Maier 


Mehr und mehr Features haben Hersteller in den letzten 
Jahren in ihre Sicherheitsprodukte integriert. Wer sich 
eine solche UTM-Lösung zulegt, sollte sich zunächst 

mit ihnen vertraut machen und entscheiden, 


was fürs eigene Unternehmen 
nützlich ist. 


Es gab eine Handvoll Produkte, 

mit deren Hilfe ein Netzwerk ge- 
schützt werden konnte und musste. Ei- 
ne Firewall zur Verteidigung gegen 
Angriffe aus dem Internet, einen zen- 
tralen Virenschutz-PC, an dem die Mit- 
arbeiter ihre Datenträger prüfen lassen 
sollten (was sie meist sowieso nicht ta- 
ten), damit keine Schädlinge ins haus- 
eigene Netz gelangen, und wer sehr 
viel Geld in seinem Budget hatte, durf- 
te sich auch ein Intrusion-Detection- 
System (Intrusion-Prevention-Systeme 
gab es erst viel später) anschaffen. Und 
natürlich stand über allem das Paradig- 
ma der unterschiedlichen Hersteller. 
Schließlich wollte man so das Risiko 
von Systemfehlern und damit poten- 
ziellen Schwachstellen streuen. 

Doch diese Zeiten sind vorbei. Die 
Anforderungen an Sicherheitssysteme 
sind komplexer und deren Administra- 
tion zeitaufwendiger geworden. Eine 


F rüher war die Welt noch einfach. 
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einzelne Firewall existiert in kaum ei- 
nem großen Unternehmen mehr, meist 
sind es viele. Der zentrale Virenschutz- 
PC wurde durch ein umfassende Anti- 
Virus-Enterprise-Management-Lösung 
ersetzt und die Konfiguration weiterer 
Dienste wie VPN, URL- und Content 
Filtering, Network Access Control 
(NAC) und andere sind schon lange in 
das Aufgabengebiet der Sicherheits- 
oder Systemadministratoren gewandert. 

Eine bestimmte Gattung an Sicher- 
heitssystemen hat sich unter dem 
Schlagwort „Unified Threat Manage- 
ment“ (UTM) in den letzten Jahren be- 
sonders hervorgetan, meist in Form von 
sogenannten Appliances, einer Kombi- 
nation von Hard- und Software. Es gibt 
in der Zwischenzeit keinen ernstzu- 
nehmenden Hersteller von Sicherheits- 
produkten mehr, der nicht ein solches 


Gerät — meist eine gesamte Familie - in 
seiner Angebotspalette hat. Und die 
Anforderungen an diese Produkte und 
ihre Aufgaben steigen. 


Für und gegen alles 


Den Begriff UTM definierte im Jahr 
2004 Charles Kolodgy von IDC. Er 
beschrieb eine neue Gattung von Pro- 
dukten, die Firewall, IDS/IPS und 
Anti-Virus in einem Gerät vereinen. Ur- 
sprünglich war diese Gerätegattung auf 
kleine und mittelständische Unterneh- 
men abgestimmt, in denen es keine spe- 
zialisierten Sicherheitsadministratoren 
gibt. Die durch die Hersteller propa- 
gierten Vorteile wie einfache Handha- 
bung, geringer Platzverbrauch, günsti- 
ges Preis-Leistungs-Verhältnis et cetera 
wurden bald durch den „Plug-and- 
play-Mythos“ ersetzt. 
So versuchte manch ein Verkäu- 
fer seinen Kunden weiszuma- 
chen, dass der Kauf eines 
UTM-Gerätes ausreiche, das 
gesamte Netzwerk abzusi- 
chern. Die Administratoren 
würden nur minimal belastet und 
die Sicherheit drastisch erhöht. 
Auch die großen Unternehmen be- 
gannen sich für die „Wunderkisten“ zu 
interessieren. Schließlich haben die 
meisten mehrere Außenstellen, die es 
abzusichern gilt. Dies führte zu weite- 
ren Anforderungen an die UTM-Pro- 
dukte. Dazu gehören vor allem Inter- 
faces für das zentrale Management 
mehrerer solcher Geräte oder zumin- 
dest die Integration einzelner Dienste 
wie Virenschutz in die bestehende En- 
terprise-Management-Plattform. 
Darüber hinaus veränderte sich der 
Personenkreis, der diese Produkte be- 
treute. Waren es zuvor meist Adminis- 
tratoren, die kaum Zeit hatten, sich in 
neue Werkzeuge einzuarbeiten, kamen 
nun Security-Verantwortliche hinzu, die 
den Umgang mit komplexen Sicher- 
heits-Tools gewohnt waren und auf de- 
ren Features nicht verzichten wollten. 
Weitere Dienste wie Virtual Private 
Networks (VPNs) zur Anbindung von 
Außenstellen fanden Eingang in die 
UTM-Produkte. Darüber hinaus ver- 
suchten manche Hersteller, die Siche- 
rung komplexerer Dienste wie Voice 
over IP (VoIP) durch Quality-of-Service- 
Mechanismen zu ermöglichen oder wei- 
tere Dienste wie URL- und Content-Fil- 
ter-Funktionen sowie die Absicherung 
von Social-Networking-Plattformen in 
die Systeme zu integrieren. Und die 
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Entwicklung bleibt nicht stehen: Netz- 
werk-Optimierung, Data Leakage Pro- 
tection, Session Border Controller et ce- 
tera sind nur einige der Schlagworte, 
die man früher oder später in irgendeiner 
Form in diesen Produkten umgesetzt fin- 
den wird und die vielleicht charakteris- 
tisch für die nächste Generation „UTM 
2.0“ sein werden. Die alte Definition von 
UTM ist demnach schon lange passe. 
Da es keine verbindliche Anzahl von 
Diensten gibt, die ein modernes UTM- 
Produkt ausmachen, sollte der Kunde zu- 
nächst die eigene Situation im Unterneh- 
men analysieren. Dazu gehören Fragen, 
welche durch ein UTM-Gerät angebo- 
tenen Sicherheitsdienste wie Firewall, 
IDS/IPS, Anti-Virus, VPN, URL- oder 
Content Filter, Content Scanning, Spam- 
Filter et cetera das Unternehmen wirk- 
lich benötigt. Ein Betrieb, der eine Ap- 
pliance lediglich zur zentralen Sicherung 
des Netzwerks betreiben möchte, hat an- 
dere Anforderungen als einer, der die 
Anbindung seiner Außenstellen mit ei- 
nem zentralen Internetzugang über die 
Hauptgeschäftsstelle sicherstellen will. 
Wird ein System im internen Netz 
eingesetzt, so kann es beispielsweise not- 
wendig sein, dass das Gerät mit virtuel- 
len LANs (VLANs) umgehen kann. Ein 
Intrusion Prevention System (IPS), das 
neben den normalen IP-Adressen und 
Ports auch VLAN-IDs versteht, kann 
in manchen Situationen deutlich besser 
agieren als ein Standardprodukt. Ein 
Großteil der UTM-Hersteller (siehe Her- 
steller-Tabellen) hat bereits erkannt, wie 
wichtig VLANs in der Praxis sind, und 
seine Produkte entsprechend ausgelegt. 
Aber nicht nur VLANs, sondern auch 
die Integration in das normale Routing 
eines Netzwerks kann manchmal von 
Bedeutung sein. Zwar versucht man Se- 
curity Appliances immer noch so weit es 
geht mit statischen Routen zu betreiben, 
es gibt jedoch komplexe Situationen, in 
denen das schlicht nicht mehr möglich 


ist. Dann sollte die UTM-Appliance in 
der Lage sein, die gewünschten Rou- 
ting-Protokolle zu verstehen und sich si- 
cher in das Netzwerk zu integrieren. 
Auch hier haben viele Hersteller ihre 
UTM-Geräte dahingehend erweitert. 

Das zentrale Feature der UTM-De- 
vices ist nach wie vor die Firewall. Fast 
alle Systeme arbeiten im „Stateful in- 
spection“-Modus. Diesen allgemeinen 
Ansatz erweitern jedoch manche Her- 
steller um verschiedene Proxies für Pro- 
tokolle jenseits von HTTP, SMTP, FTP. 
Genauer gesagt soll das UTM-Produkt 
überprüfen, ob auch wirklich das ge- 
wünschte Protokoll übertragen wird und 
nicht ein anderes auf dem gleichen Port. 
Proxies bieten die verschiedenen Pro- 
dukte etwa für SIP, H323, NetBIOS, 
VNC, RTP, DNS und so weiter. Jedem 
sollte allerdings klar sein, dass der Ein- 
satz dieser Proxies zu Lasten der Perfor- 
mance geht. Ein vollständiges Aktivie- 
ren aller Protokollprüfungen ist daher 
nicht immer sinnvoll. Ähnlich wie bei 
der Layer-7-Prüfung sollte man sich fra- 
gen, in welchen Fällen eine Virenprü- 
fung von Datenströmen, die nicht per 
SMTP, FTP oder HTTP übertragen wer- 
den, sinnvoll ist. Diese Auswahlmöglich- 
keit anderer Protokolle unterstützt aller- 
dings nicht jedes UTM-System. 

Generell sollten die Verantwort- 
lichen bei der Auswahl einer UTM-Ap- 
pliance nicht nur die aktuelle Situation, 
sondern auch zukünftige Projekte oder 
Unternehmensstrategien in Betracht 
ziehen. Plant ein Unternehmen etwa, 
die Telekommunikation eines Unter- 
nehmens auf VoIP umzustellen, so soll- 
te das Produkt weitere Features wie 
Quality of Service oder die bereits ge- 
nannten Möglichkeiten zur Untersu- 
chung des VoIP-Datenstromes via Fire- 
wall (eigener Proxy) bieten. 

Darüber hinaus schadet es nicht, 
wenn man einen genaueren Blick auf die 
einzelnen Dienste innerhalb eines UTM- 


funktionen entwickelt. 


unter Umständen entscheidend. 


A-TRACT 


© Seit ihren Anfängen haben sich UTM-Lösungen vom relativ einfach gestrickten 
3-Feature-Modell zu komplexen Suiten mit zahlreichen Sicherheits- und Netzwerk- 


© War UTM in den ersten Jahren vor allem für kleine und mittlere Unternehmen ohne 
eigenen Sicherheitsadministrator interessant, so ist es heute nicht nur dank hoher 
Performance auch für große Firmen von Nutzen. 


© Vor der Anschaffung einer UTM-Lösung empfiehlt sich ein genauer Blick „unter 
die Haube”. Die Unterschiede zwischen den Produkten sind zwar nicht riesig, aber 
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Device wirft. Die wenigsten Hersteller 
entwickeln alle Dienste selbst. Meist 
gehen sie Partnerschaften ein oder grei- 
fen gelegentlich auch zu Open-Source- 
Lösungen. Insbesondere beim Viren- 
schutz sollten potenzielle Käufer darauf 
achten, dass Engine und Pattern von 
einem anderen Hersteller stammen als 
von demjenigen, dessen Produkt man 
bereits intern einsetzt. Ein Blick „un- 
ter die Haube“ stellt auch sicher, dass 
Erfahrungen, die man mit Einzelpro- 
dukten bereits gemacht hat (URL-, 
Content Filter, IDS/IPS et cetera), in 
die eigene Bewertung einfließen. 

Eine Frage, die man sich vor dem 
Erwerb eines UTM-Gerätes stellen soll- 
te, betrifft die Verfügbarkeit: Reicht ein 
einzelnes System aus oder ist die darü- 
ber laufende Kommunikation so unter- 
nehmenskritisch, dass ein Failover oder 
gar Clustering zu den zwingenden An- 
forderungen gehört? Welche Dienste 
übertragen die Daten? Ist es notwendig, 
dass bei einem Ausfall eines Systems 
die bereits aufgebaute Verbindung über- 
nommen wird (Stateful Failover) oder 
reicht eine Neuinitiierung der Verbin- 
dung aus? Ist es notwendig, dass beide 
Systeme aktiv sind (aktiv/aktiv) oder 
kann ein System auch als Standby-Sys- 
tem betrieben werden (aktiv/passiv)? 


Nachrüsten von Vorteil 


Die meisten Hersteller ermöglichen ein 
aktives Failover und immerhin zehn 
der von iX befragten geben an, ihre 
Systeme in einem Cluster betreiben zu 
können und dadurch zumindest eine 
gewisse Form von Load Sharing durch- 
zuführen. Allerdings variiert die mög- 
liche Anzahl der zu clusternden Geräte 
von 2 bis 10 (Astaro) stark. Generell 
sollte man auf Erweiterungsmöglich- 
keiten achten. Vor allem bei der ge- 
planten Aktivierung rechenintensiver 
Dienste wie VPN oder Anti-Virus dro- 
hen sonst Performance-Einbrüche. 

Und das Management wird einen 
Antrag auf Erneuerung eines ein Jahr 
alten Systems kaum begrüßen — auch 
wenn vorher nicht abzusehen war, dass 
nun plötzlich ein Service X über die 
UTM-Appliances laufen muss. Einige 
Geräte (Secure Computing, Securepoint, 
underground_8) lassen sich mittels 
Kryptobeschleunigern oder Koprozes- 
soren ausbauen, was unter Umständen 
einiges an Geld sparen kann. 

Generell ist die Performance einer 
der wichtigsten Punkte bei der Aus- 
wahl eines Produkts. Man sollte sich 
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Netzsicherheit 


Hersteller Astaro Checkpoint Clavister Collax Fortinet Funkwerk 

Webadresse www.astaro.com wwwx.checkpoint.com www.clavister.de www.collax.com www.fortinef.com www.funkwerk-ec.com 

Produkt ASG 110; 120; 220; 320; UTM-1; VPN-I UTM; 5610; S650; 563100; Security Gateway FortiGate (versch.) Funkwerk UTM 1100; 
4250; 525 VPN-1 UTM Edge 564200; 564400 1500; 2100; 2500 

Art des Produkts Hardware-Appliance, Hardware-Appliance, Hardware-Appliance, Hardware-Appliance, Hardware-Appliance Hardware-Appliance 
Software Software Software Software 

Basisbetriebssystem eigenes Linux Check Point SecurePlatform Clavister Firewall CorePlus Pynix (linuxbasiert) FortiOS 3.0 Linux 


(linuxbasiert), IPSO, Solaris 


zusätzliche Services zu FW, \VPN, URI-Filter, Antispam, VPN, URI-Filter, VPN, Antispam, Content-Filter, VPN, URL-Filter, Content- VPN, Content-Filter, VPN, URL-, Content-Filter, 
IDS/IPS, Antivirus MailVerschlüsselung u.a. Antispam, Web Appli- Application Control, Filter, Antispam u.a. Antispam u.a. Antispam 
cation Firewall Loadbalancing u. a. 
Integration bestehender v v - von Kaspersky, IBM ISS - v 
Produkte (Cobion), NCP 
QoS (Zusich. v. Bandbreite) v v v v v 
Failover aktiv/passiv, aktiv/aktiv NG aktiv//passiv, aktiv/ link failover aktiv/passiv, via F6CP NG 
aktiv, eig. Interface 
Clustering v bis zu 10 Einheiten v kA. - bis zu 4 Geräte - 
VLAN-Unterstützung v v v v v - 
Erweiterungsmöglichkeiten nur SW-Version nur SW-Version v v 3000er-Serie: AMCModule — 
via Interface 
Layer 7 Inspection/ SMIP, POP3, HTTP, FTP, v SMIP, POP3, HTTP, FIP, - alle Protokolle per IPS, SMIP, POP3, HTTP, 
für welche Protokolle DNS, SOCKS, SIP TFIP, H.323, SIP ‚A-Transparentproxies für FIP, DNS 
und Dienste SMIP, POP3, HITP, FIP, 
IMAP, P2P, NNIP 
unterstützte OSPFV2 RIP, RiPv2, OSPF, BGP, PIM OSPF - RIP, RIPv2, OSPF, BGP, PIM OSPF 


Routing-Protokolle 


Anzahl der Interfaces je nach Gerät 3 — 10 4 und 8 3-14 je nach Gerät je nach Gerät 4,4,6;6 

Beschränkungen ie Lizenz - - - - lizenzabhängig 

IP-Adressen 

max. Anzahl Verbindungen k.A. kA. k.A. keine Limitierung je nach Gerätefamilie k.A. 

pro Sek., alle Dienste aktiv 

max. Anz. paralleler Verbin- je nach Gerät 60.000 — über je nach HW und RAM 4000 — 5 000 000 keine Limitierung je nach Gerätefamilie je nach Gerät 

dungen, alle Dienste aktiv 1000 000 (nur FW) 20.000 - 500 000 

max. Durchsatz, je nach Gerät 400 MBit/s (VPN) 50 — 4000 MBit/s abhängig von HW je nach Gerätefamilie je nach Gerät 

alle Dienste aktiv 100 MBit/s - 3 GBit/s (FW) 2 GBit/s (FW) 115 = 1900 MBit (FW) 
25 — 750 MBit/s (FW+IPS) 25 — 540 MBit (FW+IDS) 
30 MBit/s — 400 MBit/s 20 - 210 MBit/s (VPN) 
(vPN) 

I 111 7 7 Be 

Manag. über zentr. Interface v v - v - 

Authentifizierungs- LDAP, RADIUS, AD, LDAP, RADIUS, AD, LDAP, RADIUS, AD LDAP, AD, PDC, Kerberos LDAP, RADIUS, AD, PKI, LDAP, RADIUS, lokal, OOBA 

möglichkeiten TACACS+ Zertifikate u.a. TACACS, lokal 

Benutzer- u. Rollenkonzept in kommenden Versionen v v v - 

Dienste unabhäng. auf versch. / v v v v v 


Interfaces einsetzbar 
Reihenfolge der Dienste - - - = = = 


definierbar 
Koi A 
wie erfolgt Logging/ Syslog zentraler Management- Syslog oder proprietär Syslog/bei Appliance Syslog oder proprietär Syslog 
erlaubte Dateigröße Server/ext. Syslog-Server 150 GByte 
welche Alarm- SNMP, E-Mail SNMP, E-Mail, SNMP, E-Mail, SMS SNMP, E-Mail SNMP, E-Mail, SNMP, SMIP 
möglichkeiten Alert via Popup Fortianalyzer 
Log-Korrelation v mit Eventia Analyzer v mit Ereignis-Monitor mit Fortianalyzer - 
Generieren von Reports Report Manager Expressreports in v v mit Fortianalyzer = 
möglich manchen Prod. mögl. bis zu 300 Reports 
|E — SiiEsirı FE er Frese IE SPEER SER AT ART AL Fohe Arie. Sri Ze PER ee 
Preis (netto) je nach Gerät ab 7500 $; ab 3500 $; 495 - 57 750 € SW ab 295 €, k.A,, je nach Gerät 799 €; 1099 €; 249 €; 
1635 - 45 935 € ab 600 $ Appliance ab 895 € 5999 € (Gerät für 10; 25; 
100; 250 Benutzer) 
Anmerkungen - - - spez. für kleine Lizenz unlimitiert, Setup-Wizard, unlimitierte 
mittelständ. Unternehmen Beschränkung durch HW Zahl VPN-Tunnels (Beschränkung 
durch Hardware) 
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Gateprotect IBM Internet Security Systems Juniper Networks NetASQ 
www.gateprotect.de www. iss.net www.juniper.net 

GPO 125; GPA 400; IBM Proventia MX 1004; Secure Services Gateway F 50 
GPX 800 MX 3006; MX 5010 SS6 5 bis SSG 550 

Hardware-Appliance Hardware-Appliance Hardware-Appliance 

Debian 3.1/Admin-Client: Red Hat Linux Screen0S eigenes 
Windows XP, Vista 


VPN, URI-Filter, Content- 


VPN, Antispam, Web-Filter VPN, URI-Filter, Antispam u.a. - 


www.netasq.com 


Hardware-Appliance 


Phion Secure Computing 
www.phion.com www.securecomputing.com 
netfence M3; Sidewinder 62 

netfence gateway nf-850 

Hardware-Appliance, Hardware-Appliance 
Software 


eigenes (linuxbasiert) Secure 05 


VPN, URI-Filter, VPN, Content-Filter, 


Securepoint 
www.securepoini.de 
Piranja; RC100; RC200; 
RC300; RC400 
Hardware-Appliance, 
Software 

Securepoint Security 0S 


VPN, URL-Filter, 
Content-Filter, 
Antispam 


I < 


Prozessoren, RAM, 
Interfaces 

SMIP, POP3, 
HTTP, FIP, SIP, 
VNG, RIP 


je nach Gerät 3 - 16 


je nach Gerät, 
RC300: 19 000 
je nach Gerät, 


Filter, Antispam Antispam u.a. Antispam u.a. 

von IBM ISS (Cobion), kA. von Kaspersky, Surfcontrol, von Kapsersky von IBM ISS, Avira, von McAfee, 

Kaspersky, Commtouch, Symantec Microdasys Sophos 

Open Source 

v - v v NG ab Q1 08 

NG aktiv//passiv aktiv/passiv, aktiv/aktiv, v aktiv/aktiv aktiv//passiv, 
Sub-Second Stateful aktiv/aktiv 

kA - v - bis zu 2 Geräte bis zu 5 Geräte 

V = V v v v 

v - WAN-/LAN-Interfaces, - v CPU, RAM, RAID 
Switching-Module 

SMIP, POP3, HTTP, SMTP, POP3, HTTP, FIP SMTP, POP3, HTTP, FIP, v SMTP, POP3, HTTP, FTP, applikationsspezifische 

FIP, VNC, SIP, RIP IMAP, DNS, NetBIOS, H323, SIP Proxies 
Pop, IM 

kA OSPF RiPv2, OSPF, BGP RIP, RiPv2, OSPF OSPF, RIP RIP V2, OSPF, BGP 

GE a xy ng 
3; 6; 10 4; 6; 10 k.A. 3 4-12 4-% 
- je nach Gerät - - - v ‚größere Geräte 
unbeschränkt 

17 000; 28 000; 43 500 2125; 4100; 12 500 je nach Gerätefamilie kA 5000; 20 000 600 Sessions pro 
2800 - 15 000 Sekunde und 400 Mbps 

250 000; 500 000; 101 000; 120 000; je nach Gerätefamilie 15 000 400 000; 800 000 2 Millionen 

1.000 000 150 000 4000 — 128 000 


je nach Gerät 


250 MBit/s - 36Bit/s (FW) 


v 


LDAP, RADIUS, AD, lokal 


v 
v 


je nach Gerätefamilie 
160 MBit/s — 1 GBit/s (FW) 


je nach Gerät 
100 — 1600 MBit/s (FW) 


100 MBit/s 


je nach Gerät 3,2 GBit/s 


390 — 4009 MBit/s 


RC300: 1.048 000 
je nach Gerät 
RC300: 63 — 98 MBit/s 


v 
LDAP, RADIUS 
und proprietür 
v 
v 


45 MBit/s — 200 MBit/s (VPN) 100 — 800 MBit/s 40 — 500 MBit/s (VPN) (FW) 
(FW + 105) 300 - 850 MBit 
(FW + 105) 
TE 

v v kA. V V 

LDAP, RADIUS, LDAP, RADIUS, Secure ID LDAP, RADIUS, lokal LDAP, RADIUS, AD, LDAP, RADIUS, AD 

Secure ID, Xauth Secure ID, MSNT 

eingeschränkt v - v v 

v NG NG NG NG 

- - - eingeschränkt v 


Syslog, 
externer Server 
Mail, Pop-up-Fenster 


frei konfigurierbar 


v 


495 €; ab 1030 €; 
ab 1570 €; ab 3220 €; 
ab 7020 € 


Syslog oder proprietär/ Syslog oder proprietär Syslog oder proprietär Syslog lokal, neuere Versionen Syslog, lokal,/definierbar 
3 GByte ohne Größenbeschränk. 
Mail SNMP, SMIP Syslog, SNMP, E-Mail SNMP, E-Mail, Syslog SNMP, E-Mail SNMP, E-Mail, Pager 
= mit SiteProtector v = v v 
Management 
v mit SiteProtector mit Report Manager Reporting-Suite v Security Reporter 
selbst definiert 
und andere 
hr PL VePirdE ie Were a Feen 17° rei Frei 7 er 27 SFumurer TIEN Fre 
95 €;195 €; 55€ 1546 €; 540 €; ab 700 $ 22€ je nach Gerät ab 1500 € 
1480 € ab 5999 €; 
ab 19 280 € 
Leasing möglich verhaltensbasierter - - - - 


Virenschutz, virtual Patches 
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REPORT 


Netzsicherheit 


Allgemeine Angaben 


Hersteller 
Webadresse 
Produkt 


Art des Produkts 
Basisbetriebssystem 


zusätzliche Services 
zu FW, IDS/IPS, 
Antivirus 


Integration bestehen- 
der Produkte 

005 (Zusich. v. 
Bandbreite) 

Failover 


Clustering 
VILAN-Unterstützung 
Erweiterungs- 
möglichkeiten 

Layer 7 Inspection/ 
für welche Protokolle 
und Dienste 
unterstützte 
Routing-Protokolle 


Anzahl d. Interfaces 
Beschränk. 
IP-Adressen 

max. Anzahl 
Verbindungen pro Sek., 
alle Dienste aktiv 
max. Anz. paralleler 
Verbindungen, 

alle Dienste aktiv 
max. Durchsatz, 
alle Dienste aktiv 


Management über 
zentr. Interface 
Authentifizierungs- 
möglichkeiten 
Benutzer- u. 
Rollenkonzept 


Smoothwall SonicWall Symantec underground_8 Vasco Watchguard ZyXEL 
www.smoothwall.net www.sonicwall.com www.symantec.com  www.undergroundd.com www.vasco.com www.watchguard.de www.zyxel.de 
SmoothGuard NSA E7500; Endpoint Protection Limes MF 0% Guard Firebox X Edge; ZyWALL USG 300 
1000 UM PRO 3060 11.0 Core; Peak 
Hardware-Appliancee Hardware-Appliance Software Hardware-Appliance Hardware-Appliance Hardware-Appliance Hardware-Appliance 
Linux Sonic0S Windows Linux from Scratch Linux Fireware ZUD (linuxbasiert) 
VPN, Content-Filter, VPN, Content-Filter, Endpointprotection VPN, VPN, URL-ilter, URL-Filter, Antispam VPN, Content-Filter 
Antispam u.a. ‚Antispam (Anwendungs,/ Content-Filter Content-Filter, Application Patrol, 
Prozesskontrolle) ‚Antispam u.a. Antispam u.a. Antispam 
sofern zusätzlicher 
Client installiert wird 
von Mailshell - eigene, Sygate Kaspersky eigene, Trend Micro eigene, Surfcontrol, eigene 
Commtouch 
NG v — v NG v v 
v nur PRO 3060 NG aktiv/passiv v je nach Produkt v 
aktiv/aktiv, 
aktiv/passiv 
v ab PRO 3060 v v - - - 
v NG = NG v vw v 
NG - v Interfaces, Kryptobe- NG durch Software Keys v 
schleuniger, MINI GBIC 
- Application Firewall NG SMTP, POP3, HTTP, SMTP, HTTP, FIP, SP SMIP, POP3, HTTP, v (für IDS/IPS) 
FIP, P2P FIP, DNS 
RIP RIP, OSPF - RIP, RiPv2, OSPF, BGP - OSPF, RIP, RiPv2, BBP RIP, OSPF 
I 211.7 
6 86 kA. db bis 16 6; 8;8 7 
- - v - durch Lizenz - - 
500 25 000; kA. abhängig vom > 1500 000 limitiert durch k.A. 60 000 
Betriebssystem Parameter 
1000 je nach Gerät abhängig vom 1 500 000 100 000 10 000; 200 000; 60 000 
Betriebsystem 1.000 000 
933 MBit/s 1,2 6Bit/s; abhängig vom 2,4 GBit/s (FW), 100 MBit/s 100 MBit/s; 200 MBit/s (FW), 
25 MBit/s Betriebssystem 540 MBit/s (FW+IDS), 1,5 GBit/s; 48 MBit/s (FW+UTM), 
600 MBit/s (VPN) 2,3 6Bit/s 100 MBit/s (FW-+VPN) 
MU 7 27.7 Be 
v v v = v v v 
LDAP, RADIUS, LDAP, RADIUS, AD, LDAP, AD, Secure ID LDAP, RADIUS, AD, LDAP, RADIUS, LDAP, RADIUS, LDAP, RADIUS, 
M u.a. lokal lokal MD AD, Secure ID AD, lokal 
v v v = NG uf V 
v k.A. NG NG v NN NG 


Dienste unabhängig 
auf versch. Interfaces 
einsetzbar 
Reihenfolge 

der Dienste 
definierbar 


wie erfolgt Logging/ 
erlaubte Dateigröße 


welche Alarm- 
möglichkeiten 
Log-Korrelation 
Generieren von 
Reports möglich 


Preis (netto) 


Anmerkungen 
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k.A/max. 
Festplattengröße 


SNMP, SMS, E-Mail 


v 
v 


4000 € 


Syslog oder Syslog Syslog in die Datenbank Syslog oder 

proprietär propriefär 

SNMP, EMail SMIP, Pop-up-Fenster E-Mail E-Mail, Web-Tool SNMP, E-Mail, 

Pop-up-Fenster 

kA. v = = v 

Global Mgmt. System, SQL-Abfragen v v Reporting-Tool 

ViewPoint über Wizard 

24 995 527955 44€ pio Lizenz ab 695 € 4000 € für ab 528 S; ab 1605 $; 
bei 100 Liz. (Bsp.) 50 Benutzer (Bsp.) ab 6590 $ 

Multi-Core- - - - - 


Architektur; k.A. 


Syslog/ 
begrenzte Anzahl 
Messages 

SNMP, E-Mail 


v 


1250 € 
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allerdings nicht blind auf die Angaben 
der Hersteller verlassen. Denn diese sind 
kaum miteinander vergleichbar, da je- 
der Hersteller seine eigene Methodik 
für die Messungen besitzt. Bei einer 
Vorauswahl sollte man vor allem dar- 
auf achten, dass die Performance-Mes- 
sungen bei Aktivierung aller Dienste 
einer Appliance erfolgen. Je nachdem, 
wie viele Dienste in einem einzelnen 
System integriert sind und wie stark der 
Messdatenstrom die einzelnen Dienste 
in Anspruch nimmt, sind Performance- 
Einbußen von 60 — 80 % im Durchsatz 
keine Seltenheit. 

Wenn möglich, sollte man in Bezug 
auf den Durchsatz eigene Tests durchfüh- 
ren. Dabei sollte der Messdatenstrom ver- 
gleichbar mit dem Produktivdatenstrom 
und alle für den Produktivbetrieb not- 
wendigen oder geplanten Dienste akti- 
viert sein. Ein Datenstrom, der etwa zur 
Hälfte aus großen Dateien besteht, die 
via VPN übertragen und anschließend 
auf Viren geprüft werden müssen, ergibt 
andere Performance-Werte als einer, der 
zu 80 % aus Internetzugriffen besteht 
und lediglich aktivierte URL-, Content 
Filter und Virenscanner benötigt. 

Ebensowenig sollte man vergessen, 
dass jedes Gerät lediglich eine maxima- 
le Anzahl paralleler Verbindungen ver- 
arbeiten kann. Im Allgemeinen sind das 
bei den meisten teuren Geräten weit 
mehr als 100 000, aber auch hier ist eine 
Prüfung mit produktivnahen Daten sinn- 
voll. Insbesondere dann, wenn Verbin- 
dungen dauerhaft oder über längere Zeit 
gehalten werden müssen (zum Beispiel 
VPN, Online-Interfaces zu bestimmten 
Anwendungen et cetera). 


Hohe Performance 
benötigt 


Will man Dienste nach außen anbieten, 
sollte man darauf achten, wie schnell ein 
Gerät beim Verbindungsaufbau ist, 
sprich wie viele Verbindungen es pro 
Sekunde aufbauen kann. Ein stark fre- 
quentierter Webserver hat hier sicherlich 
andere Anforderungen an ein UTM-Pro- 
dukt als ein System, das etwa als VPN- 
Access-Point für die Sales-Mannschaft 
eines Unternehmens zuständig ist. 
Doch die Performance eines Sys- 
tems ist nur ein Teilaspekt. Insbesonde- 
re große Unternehmen sollten auf die 
Management-Möglichkeiten von Pro- 
dukten Wert legen. Hatten die meisten 
Systeme aus der Anfangszeit lediglich 
ein Interface, das mehr oder weniger 
schick die einzelnen Funktionen mit- 
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Je nach Reihenfolge der Dienste erzielt man unterschiedliche Ergebnisse: 
Bei vorgeschalteter Firewall (Variante links) verarbeitet das UTM-Gerät die 
gefilterten Daten performanter, bei vorgeschaltetem IDS/IPS (rechts) erhält 
man mehr Informationen über Angriffe aus dem Internet (Abb. 1). 


einander verband und direkt angespro- 
chen werden musste, so existiert heute 
für nahezu jedes Produkt eine gemein- 
same Management-Oberfläche, die es 
ermöglicht, Policies zentral abzulegen 
und auf mehrere Systeme zu verteilen. 

Je nach Gerät und Hersteller muss 
man eine solche Management-Software 
zusätzlich kaufen — doch daran sollte im 
Interesse des effektiveren Arbeitens kein 
IT-Leiter sparen. Das Erstellen von ei- 
genen Skripten zur Verteilung von Poli- 
cies oder der Aufbau eigener Datenban- 
ken zur Versionskontrolle et cetera sind 
zeitaufwendige Vorgänge, die die Kos- 
ten für ein zu kaufendes Tool meist 
schnell übersteigen. Bei einigen auf dem 
Markt befindlichen Geräten (s. Tabelle) 
werden sich Administratoren jedoch mit 
eigenen Werkzeugen behelfen müssen. 

Durch die Verbindung mehrerer 
Dienste in einem Gerät kann es zu Kom- 
plikationen bei der Administration dieser 
Systeme kommen. So ist es in Unterneh- 
men nicht selten, dass unterschiedliche 
Gruppen für Virenschutz und Firewalls 
zuständig sind. Ist das der Fall, so sollte 
man unbedingt auf ein entsprechendes 
Benutzer- und Rollenkonzept achten. Im 
Mittelpunkt steht die Frage, wer mit 
welchen Rechten auf welchen Bereich 
zugreifen darf. Bei nahezu allen aufge- 
führten Produkten ist es möglich, die 
Benutzeroberflächen so zu konfigurie- 
ren, dass einzelne Bereiche entweder 
vollständig ausgeblendet sind oder zu- 
mindest der Zugriff auf sie nur lesend 
gestattet ist. 

Neben der Einrichtung des Zugriff- 
schutzes auf dem UTM-Gerät ist es 
sinnvoll, ihn in das zentrale Benutzer- 
management eines Unternehmens einzu- 
binden. Alle Hersteller bieten diese Op- 
tion zumindest über LDAP. Wer seine 


UTM-Appliance in das Active Directory 
seines Unternehmens direkt einbinden 
möchte, wird bei immerhin 15 Herstel- 
lern fündig. Stärkere Authentifizierungs- 
mechanismen wie SecurelD bieten fünf 
Hersteller an. Die Integration über Pro- 
tokolle wie RADIUS ist bei zahlreichen 
Produkten möglich. Sinnvoll ist die Inte- 
gration in die zentrale Benutzerdaten- 
bank immer dann, wenn es einen defi- 
nierten Prozess für den Eintritt und das 
Ausscheiden von Mitarbeitern gibt. 

Bei der Auswahl eines UTM-Produk- 
tes nicht unerheblich ist die Frage, wie 
fein abgestuft man es konfigurieren 
kann. Denn unter Umständen kann es 
die Performance maßgeblich beeinflus- 
sen, wenn die angebotenen Dienste un- 
abhängig auf verschiedenen Interfaces 
einsetzbar sind. Ob etwa ein Virenscan 
(E-Mail und HTTP) auf allen Interfaces 
durchgeführt werden muss oder nur den 
Datenstrom von außen ohne intern ver- 
schickte E-Mails berücksichtigt, macht 
einen großen Unterschied. 

Analog dazu stellt sich die Frage, auf 
welchen Interfaces ein IDS/IPS lauschen 
soll. Reichen hier einzelne Bereiche aus 
oder sollen sie alles prüfen — eine deut- 
lich andere Rechenleistung. Glückli- 
cherweise bieten fast alle Hersteller die 
Möglichkeit, eine solche dedizierte Kon- 
figuration vorzunehmen. Anders sieht es 
aus, wenn man die Reihenfolge der 
Dienste beeinflussen will. Es ist bei- 
spielsweise ein großer Unterschied, ob 
der Datenstrom an einem externen Inter- 
face zuerst von der eingebauten Firewall 
oder vom IDS/IPS geprüft wird (Abb. 1). 
Im ersten Fall betrachtet das IDS/IPS 
lediglich einen Bruchteil der Daten. 
Manchmal kann es jedoch sinnvoll sein, 
den Datenstrom vor einer Firewall zu 
überwachen. Das liefert Daten (und 
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REPORT 


Netzsicherheit 


teilweise auch Argumentationshilfen) 
über die reale Anzahl von Angriffsver- 
suchen aus dem angebundenen Netz. 
Lediglich Secure Computing gibt an, 
diese Wahlmöglichkeit im Produkt ver- 
ankert zu haben. Alle anderen Hersteller 
bearbeiten den Datenstrom in einer 
vorgegebenen Reihenfolge. 

Aufbau und Konfiguration von Si- 
cherheitssystemen sind nur zwei der 
Aufgaben eines Sicherheits-Administra- 
tors. Das Logging, Alarming und Repor- 
ting sind meist vernachlässigte, aber 
dennoch sehr wichtige Komponenten, 
die das eigene Netzwerk absichern. Bei 
UTM-Systemen kommt zudem die Be- 
sonderheit hinzu, dass es nicht nur einen, 
sondern gleich mehrere unterschiedliche 
Dienste zu betrachten gilt. Logfiles soll- 
ten die UTM-Systeme daher in einem 
Format schreiben, das sowohl leserlich 
ist als auch durch weiterführende An- 
wendungen oder Systeme bearbeitet 
(Alarming, Reporting) werden kann. 


Gut geloggt 
ist halb gewonnen 


Die meisten Hersteller lösen dieses Pro- 
blem, indem sie das Logging via Syslog 
durchführen. Teilweise existieren zusätz- 
liche proprietäre Formate, die die haus- 
eigenen zentralen Management-Tools 
verarbeiten können. Lediglich Vasco 
schreibt die Logdaten in eine eigene Da- 
tenbank und liefert sie nicht via Syslog 
weiter. Check Point schreibt die Logda- 
ten ebenfalls zuerst in einem proprietä- 
ren Format auf den zugehörigen Mana- 
gementserver, von dort ist allerdings eine 
Weiterleitung via Syslog möglich. 

Für das Weiterverarbeiten von Logda- 
ten bieten die meisten Hersteller eigene 
Reporting-Tools an, die teilweise zusätz- 
lich zu erwerben sind. Für die im Syslog- 
Format vorliegenden Logdaten kann 
man auch eigene Werkzeuge verwenden. 
Allerdings ist hier Vorsicht geboten, da 
es einen hohen Konfigurationsaufwand 
nach sich zieht, wenn man gute Ergeb- 
nissen erhalten möchte. Anzumerken ist 
außerdem, dass bei den Geräten nicht al- 
le Syslognachrichten, die versendet wer- 
den, dokumentiert sind. Eine Auswer- 
tung der Logfiles kann daher mühevoll 
sein, wenn man nicht weiß, was man zu- 
sammenfassen kann oder nach welchen 
Nachrichten man suchen muss. 

Die Integration mehrer Dienste in ei- 
ner Appliance könnte nahelegen, dass 
die meisten Hersteller das genutzt haben 
und für das Alarming eine Korrelation 
der Logfiles durchführen. Das würde be- 
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deuten, dass ein UTM-Produkt die Log- 
daten eines Dienstes nicht isoliert be- 
trachtet, sondern das System in seiner 
Gesamtheit (Abb. 2). Ein Portscan von 
einer bestimmten IP-Adresse aus ist 
nicht zwingend ein Grund, Alarmstufe 
Rot auszulösen. Wenn aber die gleiche 
IP-Adresse zusätzliche Warnmeldungen 
im IDS/IPS generiert und der Virenscan- 
ner ebenfalls bei dieser IP anschlägt, 
könnte eine Benachrichtigung des Admi- 
nistrators durchaus angebracht sein. 

Das Auslösen eines Alarms bei ein- 
zelnen Ereignissen bietet jeder Herstel- 
ler in der einen oder anderen Form 
(SNMP, E-Mail, Syslog et cetera). Bei 
einigen Produkten kann man die Alarme 
relativ frei auf der Basis von Logdaten 
definieren, andere benötigen hierzu 
wiederum die zusätzlich zu erwerben- 
de Managementsoftware. Ein wirkli- 
ches Log-Event-Correlation-Tool wie 
das Open-Source-Werkzeug „Simple 
Event Correlator“ oder kommerzielle so- 
genannte Security-Information-Manage- 
ment-Werkzeuge (SIM), bietet kaum ein 
Hersteller — es sei denn mit zusätzlichen 
Produkten. Das wäre jedoch ein aus- 
gesprochen sinnvolles Feature, zumal 
schließlich alle Anwendungen bereits 
unter einem Dach vereint sind und es so- 
mit nur ein weiterer logischer Schritt bei 
der Weiterentwicklung von UTM wäre. 


Individuelle Tests 


Seit die ersten UTM-Systeme auf den 
Markt gekommen sind, hat sich einiges 
getan. Nahezu jedes Produkt wurde um 
zahlreiche Funktionen erweitert, und 
ein Ende dieser Entwicklung ist noch 
nicht abzusehen. Ob durch die Fülle 
der Funktionen und deren Integration 
in eine Benutzerumgebung ein einfa- 
ches Arbeiten möglich bleibt — einer 
der bislang bei UTM propagierten Vor- 
teile — wird sich zeigen. Der Einsatz 
von Einzelprodukten ist jedoch nicht 
zwingend die einfachere Alternative. 
Schließlich muss jeder Administrator 
oder IT-Leiter selbst entscheiden, welche 
Features er als relevant oder obsolet er- 
achtet. Wichtig ist es vor allem, das Ziel, 
das man mit einem solchen Gerät errei- 
chen will, nicht aus den Augen zu verlie- 
ren. Ein kleines oder mittelständisches 
Unternehmen benötigt mit Sicherheit 
kein Benutzer-Interface, mit dem man 
mehrere Hundert Geräte managen kann. 
Auch ist fraglich, ob es nicht in 
wirklich großen Umgebungen doch 
sinnvoller ist, dedizierte Geräte für re- 
chenintensive Aufgaben wie VPN et 


IDS/IPS Anti-Virus VP 


Ze 


Firewall 


U 
K 


Alarm A 
Alarm B 


Idealerweise sollten UTM-Systeme 
ebenso wie Security-Information- 
Management-Systeme aus allen Logs 
die Daten korrelieren und bei 
drohender Gefahr Alarm auslösen - 
dieses Feature ist bei heutigen 
Produkten aber in der Regel noch 
eine Wunschvorstellung (Abb. 2). 


cetera einzusetzen. Allerdings besitzen 
die aktuellen UTM-Systeme genügend 
Features, die sie insbesondere für große 
Unternehmen interessant machen. Die 
Anbindung von kleinen sowie größeren 
Außenstellen durch ein zentrales Ma- 
nagement und stetige Erweiterung die- 
ser Produkte ist dabei nur ein Aspekt. 

Wichtig ist jedoch, dass vor dem Kauf 
eines solchen Produktes ein ausgiebiger 
Test steht. Durch die vielen Dienste und 
die Einsatzszenarien (und damit auch 
Datenströme), die in jedem Unterneh- 
men anders sind, können die einzelnen 
Produkte ganz unterschiedlich reagieren. 
Die Performance-Angaben der Herstel- 
ler geben zwar eine grobe Orientierung, 
machen aber einen Test mit sinnvollen 
Daten, wie sie im Unternehmensalltag 
vorkommen, nicht obsolet. 

Darüber hinaus ist zu beachten, dass 
zwar nur ein Gerät im Test steht, dieses 
aber eine große Anzahl von Features ent- 
hält. Deswegen sollte man die Testdau- 
er nicht zu kurz ansetzen. Der Test einer 
Firewall, eines IDS/IPS, einer Anti-Vi- 
ren-Software, eines VPNs, eines URL- 
oder Content Filters, einer Anti-Spam- 
Software et cetera kann nun mal nicht in 
einer Woche abgehakt werden. Das soll- 
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Netzüberwachung 


ei der Vielzahl von Netz- 
B werk-Interfaces, schon in 

kleineren Unternehmen, 
lässt sich die Auslastung nicht 
mehr bei allen Anschlüssen 
manuell überwachen. Von gro- 
ßem Vorteil wäre ein Tool, das 
dem Netzadministrator auto- 
matisch eine Vorauswahl prä- 
sentiert, die er detaillierter 
überprüfen kann. Einfache 
Schwellwerte reichen dabei als 
Auswahlkriterium jedoch oft 
nicht aus, da sie nur einen 
kleinen Teil der potenziellen 
Probleme abdecken. Dank dy- 
namisch angepasster Schwell- 
werte reagiert der in diesem 
Artikel vorgestellte Holt-Win- 
ters-Algorithmus (siehe Kas- 
ten) auf Anomalien, die nicht 
nur aus der Überlastung der 
Netzanbindung herrühren. Als 
Beispiele lassen sich außer- 
planmäßige größere Daten- 
übertragungen oder eine re- 
duzierte Internet-Bandbreite 
aufgrund von Schwierigkeiten 
des Providers anführen. Auch 
Angriffe von innerhalb oder 
außerhalb des Netzes stellen 
eine Anomalie dar, die der 
Holt-Winters-Algorithmus er- 
kennen kann. 


Sammelstelle 
für Messdaten 


Als Datensammler kommt in 
diesem Szenario das von Tobi 
Oetiker entworfene und für gra- 
fische Auswertungen verbreite- 
te RRD-Tool (siehe „Online- 
quellen“) zum Einsatz. RRD 
steht dabei für die sogenann- 
ten Round-Robin-Datenban- 
ken, in denen sich unterschied- 
lichste Messdaten speichern 
lassen. Die RRDs erzeugt man 
mit einer festen Größe und ei- 
ner festen Anzahl von Werten. 
Sobald mehr Messwerte vorlie- 
gen, werden einfach die ältes- 
ten Werte überschrieben. So 
besteht keine Gefahr, dass die 
RRDs zu stark wachsen. 

Jede RRD ist in weitere 
Round-Robin-Archive (RRA) 
unterteilt, in denen man die 
Messdaten — auch in unter- 
schiedlicher Granularität — 
speichern kann. So ist es bei- 
spielsweise sinnvoll, die 
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Anomalien im Netz via RRD-Tool und Cricket erkennen 


Immer einen 
Schritt voraus 


Pascal Schöttle, Thomas Götz 


Für die manuelle Überwachung der Netzauslastung muss ein 
Unternehmen erhebliche personelle Ressourcen seiner IT-Abteilung 
binden. Eine Kombination des RRD-Tools mit dem Holt-Winters- 
Algorithmus verspricht Entlastung - und eine frühzeitige Erkennung 


von Netzanomalien. 


Messdaten im 5-Minuten-Takt 
für 2 Tage zu speichern, die 
im 30-Minuten-Takt jedoch 
für 2 Wochen oder im 2-Ta- 
ges-Takt für ein ganzes Jahr. 
Damit hat der Administrator 
sowohl einen detaillierten 
Überblick, was in letzter Zeit 
im Netz passiert ist, als auch 
gleichzeitig eine Übersicht 
über einen längeren Zeitraum. 
Neben der effizienten Spei- 
cherung der Daten bietet 
RRD-Tool auch Mechanis- 
men zur grafischen Darstel- 
lung der gesammelten Werte. 


Um nun den Holt-Winters- 
Algorithmus im RRD-Tool 
nutzen zu können, gibt der 
Nutzer bei der Initialisierung 
der RRD-Dateien, neben den 
RRASs für die verschiedenen 
Taktungen, fünf zusätzliche 
RRAs für den Vorhersagealgo- 
rithmus an. Das erste speichert 
die vorhergesagten Werte, das 
zweite die saisonale Kompo- 
nente, das dritte die saisonale 
Abweichung und das vierte die 
vorhergesagte Abweichung. 
Im fünften RRA merkt sich 
das Tool, ob eine Anomalie 


vorliegt oder nicht. Die RRAs 
für die Anomalieerkennung 
legt man genau wie normale 
RRAs mit dem Befehl rddtool 
create an, beispielsweise: 


trdtool create anomalie.rrd - step 300 7 


DS: fHCInOctets:COUNTER:600:0:U L 
DS:ifHCOutOctets: COUNTER: L 
600:0:U 7 
RRA:AVERAGE:0.5:1:4032 7 
RRA:HWPREDICT:2016:0.1:7 
0.0035:288:3 7 
RRA:SEASONAL:288:0.1:2 7 
RRA:DEVSEASONAL:288:0.1:2 7 
RRA:DEVPREDICT:2016:4 7 
RRA:FAILURES:288:9:15:4 
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Netzüberwachung 


Dieser Aufruf erzeugt eine 
RRD-Datei namens anomalie. 
rrd, die alle 5 Minuten (--step 
= 300s) einen Wert speichert. 
In ihr sind zwei Datenquellen 
definiert. Die erste speichert 
die eingehenden und die zweite 
die ausgehenden Bytes; beide 
sind vom Typ COUNTER. 
Falls 10 Minuten (= 600 s) kein 
Wert gemessen werden kann, 
setzt RRD-Tool den Messwert 
auf Unknown. Als Nächstes 
wird das RRA für den Durch- 
schnittswert (AVERAGE) der 
letzten 5 Minuten definiert. 
Hier werden Daten für zwei 
Wochen (= 4032 Beobachtun- 
gen & 5 Minuten) gespeichert. 
Darauf folgt das RRA mit den 
Vorhersagen (HWPREDICT). 
Das angegebene Beispiel spei- 
chert Vorhersagen für einen 
Zeitraum von einer Woche 
((7x24x12) = 2016 Beobach- 
tungen ä 5 Minuten), setzt den 
Parameter « auf 0.1, den Para- 
meter ß auf 0.0035, die Periode - 
auf einen Tag (288 Beobach- = a 
tungen A 5 Minuten) und gibt | 
als Letztes noch die Nummer 
des SEASONAL-RRA an. Die 
beiden RRAs SEASONAL und | 
DEVSEASONAL haben als Pa- were 

rameter die Periode (hier 1 |} \/ \//\/ 
Tag), den saisonalen Glät- | Il Ni 
tungsparameter y (hier 0.1) und 


dieser Zeit (Abb. 1). 


ALL, 


rrdtool-Ausgabe: Die grüne Linie zeigt die untere und die rote Linie die obere 
vorhergesagte Grenze; die tatsächlich gemessenen Werte sind blau. Der gelb eingefärbte 
Hintergrund hebt eine Anomalie hervor. In diesem Beispiel beträgt die Länge des 
Zeitfensters 9 Beobachtungen und als Anomalie gelten 5 Verletzungen der Grenzen in 


Aufteilung einer Zeitreihe in ihre verschiedenen Komponenten 


die Nummer des HWPRE 
DICT-RRA. 

Das RRA DEVPREDICT 
verfügen als ersten Parameter 
über die Anzahl der zu spei- 
chernden Werte und als zweiten 
die Nummer des DEVSEASO 
NAL-RRA. FAILURES-RRA 
besitzt als ersten Parameter 
wieder die Periode, hier gleich- 
bedeutend mit der Anzahl der 


zu speichernden Werte, als 
zweiten die Schranke s, ab 
der Alarm geschlagen wer- 
den soll (hier 9), als dritten 


A-TRACT 


© Netzadministratoren müssen viel Zeit in die Überwachung 
von Netzanschlüssen investieren - selbst wenn sie sich auf 
die zentralen Server beschränken. 


© Auf Basis gemessener Auslastungswerte lassen sich mit dem 
Holt-Winters-Algorithmus Vorhersagen für zukünftige Mess- 
punkte treffen. 


@ Mit Holt-Winters in Kombination mit dem RRD-Tool und 
dessen GUI-Frontend Cricket kann sich der Netzverwalter 
eine Menge Arbeit ersparen. 


122 


Zeit 


die Länge des zu berücksichti- 
genden Zeitfensters / (hier 15) 
und als letzten Parameter wie- 
der die Nummer des DEVSE- 
ASONAL-RRA. Hierbei soll- 
te man beachten, dass der 
höchste Wert, den RRD-Tool 
für die Länge des Zeitfensters 
verwenden kann, 28 beträgt 
(per Definition im RRD- 
Tool). Im FAILURES-RRA 
steht entweder eine „0“, wenn 
der Algorithmus keine Ano- 
malie erkannt hat, oder eine 
„1“, wenn in den letzten / Be- 
obachtungen mindestens s 
Verletzungen der vorherge- 
sagten Schranken aufgetreten 
sind. Die Schranken berech- 
nen sich wie im Kasten 


Aufteilung einer Zeitreihe durch den Holt-Winters-Algorithmus: Ganz oben stehen die 
vorhergesagten Werte, gefolgt von der Baseline. Im dritten Abschnitt sieht man den 
langfristigen Trend und ganz unten die saisonale Komponente. Die vorhergesagten Werte 
bilden sich aus der Summe der drei anderen Komponenten (Abb. 2). 


„Holt-Winters-Algorithmus“ 
beschrieben. 

Die beiden Parameter ö_ 
und ö, lassen sich nachträglich 
mit dem Befehl 


rrdtool tune anomalie.rrd -deltapos 7 
VALUE+ --deltaneg VALUE 


auf den Wert VALUE+ be- 
ziehungsweise VALUE- ver- 
ändern. Ihr Default-Wert be- 
trägt jeweils 2.0. Auch wenn 
man den Wert theoretisch be- 
liebig ändern kann, hat sich 
in der Praxis herausgestellt, 
das ein Wert im Intervall [2, 
3] sinnvoll ist. Um die RRD- 
Datei nun auf dem Laufenden 
zu halten, verwendet man am 
besten eines der vielen frei 
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Netzüberwachung 


target --default-- 
nail-pgm = /usr/bin/mailx 
persistent-alarn=false 
nonitor-thresholds = 
"ifHlIndctets : 
ifHeIndetets : failures : 
ifHCOutOctets : 
ifHeOutoctets : 


Listing 1:monitor-thresholds definieren 


failures : 0 in: FILE : /var/logs/cricket-alerts, 
0 in: MAIL : Xmail-pgni : me\\\amydonain.de, 
failures : 0 in: FILE : /var/logs/cricket-alerts, 
failures : 0 in: MAIL : Amail-pgnZ : me\\\dnydonain.de" 


erhältlichen Frontends wie 
Cricket. 


Alles vereint 
in Cricket 


Cricket ist ein Frontend zum 
RRD-Tool, mit dem sich die 
verschiedenen RRDs verwalten 
und daraus automatisch eine 
HTML-Grafik der gemesse- 


Der Vorhersagealgorithmus 
nach Holt & Winters basiert auf 
der mathematischen Methode 
des exponentiellen Glättens, ei- 
nem Verfahren zur Analyse 
und kurzfristigen Prognose von 
Zeitreihen. Exponentielles Glät- 
ten ist ein einfacher Algorith- 
mus zur Vorhersage des nächs- 
ten Werts Y(t+/) einer Zeitserie 
y, wenn der aktuell gemessene 
Wert y(t) und der aktuell vor- 
hergesagte Wert y(t) vorliegen. 
Es gilt dann: 


Y(t+1)= ay(t) + (1-0)} (1) 


Der Name exponentielles Glät- 
ten kommt zustande, da weiter 
zurückliegende Werte immer 
weniger ins Gewicht fallen. 
Die Gewichtung ist exponen- 
tiell fallend. So ist beispiels- 
weise: 


y(t) = ayft-I) + (I-a) J(t-1) 
und somit: y(t+1) = ay(t) + (1- 
a)ayft-1) + (1-a)Y(t-1). 


Wenn man die y weiter ersetzt, 
kommt man zu folgendem Er- 
gebnis: 


Y(t+1) = ayft) + a(l-a)y(t-1) 
+ a(l-o)y(t-2) +... + all- 


a)"'y(1) + a(1-a)'y(0) 


Hierbei ist O0 < a = 1 der soge- 
nannte Glättungsparameter, der 
angibt, wie viel Gewicht der 
zuletzt gemessene Wert be- 
kommt. Bei a = 1 würde nur 
der letzte Wert zählen, und je 
näher a an 0 ist, umso mehr 
Gewicht fällt auf die älteren 
Beobachtungen. 
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nen Werte erzeugen lassen. 
Cricket entstand unter der Re- 
gie von Microsofts Web-TV — 
mittlerweile MSN - und ist 
frei erhältlich (siehe „Online- 
quellen“). Im Wesentlichen 
besteht es aus zwei Teilen. 
Dem Datensammler, der alle 
fünf Minuten (per Default) die 
vorher erzeugten RRD-Dateien 
aktualisiert, und einer via Web- 
Interface ansprechbaren Gra- 


fikausgabe. In den Konfigura- 
tionsdateien lässt sich angeben, 
mit welchen Parametern die 
RRD-Dateien erzeugt werden 
sollen. Das oben angegebene 
Beispiel würde in einer Cri- 
cket-Konfiguration folgen- 
dermaßen aussehen: 


rra 5minAve AVERAGE:0.5:1:4032 
rra hwpredict HWPREDICT: 7 


2016:0.1:0.0035:288:3 
rra seasonal SEASONAL:288:0.1:2 
rra devseasonal DEVSEASONAL: 7 
288:0.1:2 
rra devpredict DEVPREDICT:2016:4 
rra failures FAILURES:288:9:15:4 


Nun kann man sich die gemes- 
senen und vorhergesagten 
Werte über die grafische Aus- 
gabe anzeigen lassen. Dabei 
kann man zwischen drei Optio- 


Holt-Winters-Algorithmus 


Im Kern nutzt der Holt-Win- 
ters-Algorithmus zwar das ex- 
ponentielle Glätten, berück- 
sichtigt jedoch sich periodisch 
wiederholende Ereignisse (mit 
Periode p) und einen langfristi- 
gen Trend in der beobachteten 
Zeitreihe. Dazu spaltet er die 
Zeitreihe y(f) in drei Kompo- 
nenten: die Baseline a(t), den 
linearen (langfristigen) Trend 
b(t) sowie die saisonale Kom- 
ponente c (t). 


Die eigentliche Zeitreihe y(t) 
setzt sich aus diesen, jeweils 
exponentiell geglätteten, Kom- 
ponenten zusammen, also y(f) 
= alt-I) + b(t-1) +c(t-p). 


Zur Berechnung von y(t) benö- 
tigt man a(t-1) und b(t-1) des- 
halb, weil die Berechnung von 
a(t) den aktuell gemessenen 
Wert y(f) benutzt und die Be- 
rechnung von b(t) den Wert 
von a(t) (siehe Formeln weiter 
unten). 


Der Holt-Winters-Algorithmus 
hat zum Ziel, zukünftige Werte 
y (t) der Zeitreihe y vorherzusa- 
gen. Dafür benötigt man eine 
Zeitreihe von mindestens 2X p 
Länge (Mindestlänge für das 
Baselining). Y(t+/) ist dann die 
Summe aus den einzelnen 
Komponenten. Natürlich wer- 
den die einzelnen Teile in jedem 
Schritt neu angepasst. Da der 
Holt-Winters-Algorithmus es 
nicht berücksichtigt, kann man 
manuell noch triviale Anpas- 
sungen vornehmen. So kann 
beispielsweise im Einsatzsze- 


nario des Artikels der Netzver- 
kehr nie unter Null fallen. Da 
der Algorithmus hauptsächlich 
saisonale Steigungen respektive 
Gefälle berücksichtigt, kann es 
passieren, dass in einer Vor- 
hersage der Netzverkehr unter 
Null fallen würde, was wenig 
sinnvoll ist. 


Formeln für den Holt-Winters 
und seine Parameter: 


Baseline 


a(t) = al(y(t)-c(t-p)) + (1-q) 
(a(t-1) + b(t-1)) 


Linearer Trend 


b(t) = B(a(t)-a(t-1)) + (1-B) 
(ba-1)) 


Saisonale Komponente 


e(t) = y(y(t)-a(t)) + (1-y) 
(e (t-p)) 


Also: c (t-p) = y(y(t-p)-a(t-p)) 
+ (1-y)(e(t-2p)) und somit 


Y(t+1) = aft) + b(t) + c(t+1- 
D) 


a, ß und ysind hierbei die Glät- 
tungsparameter. Sie liegen im- 
mer im Intervall [0,1] und geben 
an, wie viel Gewicht der letzte 
gemessene Wert bekommen 
soll. Sind sie groß (-1) reagiert 
der Algorithmus stark auf den 
letzten Messwert. Daraus folgt 
eine schnelle Anpassung an 
plötzliche Veränderungen, aber 
kaum Berücksichtigung der äl- 
teren Messwerte. Sind sie je- 
doch klein (-0), reagiert er nur 
sehr schwach auf den letzten 
Messwert. Hieraus folgt eine 


nen wählen: nur die gemesse- 
nen Werte, die gemessenen 
Werte zusammen mit den vor- 
hergesagten Grenzen oder die 
Werte mit den Grenzen und 
den Anomalien, sofern aufge- 
treten. Damit der Administrator 
nicht ständig auf den Monitor 
achten muss und trotzdem kei- 
ne Anomalie verpasst, verfügt 
Cricket über einige Alarmie- 
rungsmöglichkeiten, die grei- 
fen, sobald das FAILURES- 
RRA in der RRD-Datei eine 
„1“, also eine erkannte Anoma- 
lie, enthält. Als Alarmierung 
kann man eine der folgenden 
Optionen wählen: SNMP gene- 
riert einen SNMP-Trap. MAIL 
verschickt bei einem Alarm 
und bei einer Entwarnung eine 


langsamere Anpassung, dafür 
aber eine höhere Gewichtung 
der älteren Messwerte. 


Anomalie 


Zum Erkennen von Anomalien 
bildet man ein Konfidenzinter- 
vall mit einer unteren und einer 
oberen Schranke. Dazu definiert 
man die sogenannte Messabwei- 
chung d(t), welche der gewich- 
tete Durchschnitt der absoluten 
Abweichung ist. In sie fließen 
sowohl gemessene als auch vor- 
hergesagte Werte mit ein. 


d(t) = yly(t)-Y (Ü)I+(1-y)d(t-p) 


Außerdem benötigt man zwei 
Parameter ö, und ö_. Aus d(t- 
p), 6, und Ö_ bildet man dann 
das Konfidenzintervall für y(t): 


(9()-8.d(t-p),Y(t) + d,d(t-p)) 


Als Anomalie gelten jetzt nicht 
einzelne Verletzungen dieses In- 
tervalls, da dies eine zu hohe 
Anzahl von False Positives her- 
vorrufen würde. Deshalb arbei- 
tet die Anomalie-Erkennung 
mit einem festen Zeitfenster 
der Länge ! und einer oberen 
Schranke s. Wenn die Anzahl 
der Verletzungen des Intervalls 
innerhalb der letzten ! Beobach- 
tungen s erreicht, gilt dies als ei- 
ne Anomalie. Beispielsweise re- 
gistriert der Algorithmus in der 
Konfiguration des Haupttextes 
eine Anomalie, falls in den letz- 
ten /= 15 Beobachtungen s = 9 
Verletzungen des Intervalls auf- 
getreten sind. 
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E-Mail an die angegebene 
Adresse. FILE schreibt bei ei- 
nem Alarm eine Zeile in die 
angegebene Datei und löscht 
diese wieder, falls der Alarm 
vorbei ist. EXEC führt das 
angegebene Shell-Kommando 
oder -Skript aus. FUNC arbei- 
tet ähnlich wie EXEC, nur 
dass es ein Perl-Skript aus- 
führt. META schließlich spei- 
chert den Alarm in den Cri- 
cket-eigenen Meta-Dateien. 
Um diese Alarmierungs- 
möglichkeiten einsetzen zu 
können, muss man in der Kon- 
figurationsdatei entsprechende 
monitor-thresholds definieren. 
Listing 1 zeigt, wie das für den 
hier beschriebenen Fall aus- 
sehen könnte. Zur Erläute- 
rung: mail-pgm gibt den Pfad 
zum verwendeten E-Mail-Pro- 
gramm an. Die Option persis- 
tent-alarm legt fest, ob die de- 
finierte Aktion bei jedem 
neuen Alarm erfolgt (true), 
oder nur, falls es zwischen 
zwei Alarmen wieder eine Ent- 
warnung gegeben hat (false). 
Der erste Wert bei monitor- 
thresholds gibt die Datenquel- 
le an. Das folgende failures 
stellt ein, dass FAILURES-RRA 
als Informationsquelle heran- 
zuziehen ist, gefolgt vom Be- 
reich (des Messwerts), in dem 
Alarm geschlagen werden soll 
(n bedeutet keine obere bezie- 
hungsweise untere Grenze). Im 
letzten Part findet sich die 
Alarmierungsart mit den dazu- 
gehörigen Parametern. Im Bei- 
spiel schreibt Cricket sowohl 
beim ein- als auch beim ausge- 
henden Verkehr den Alarm in 
die Datei /var/logs/cricket- 
alerts, respektive löscht ihn, 
wenn der Alarm vorbei ist, 
wieder daraus. Darüber hinaus 
erhält me@mydomain.de bei 
jedem Alarm und jeder Ent- 
warnung eine E-Mail. 


Fazit 


Mit RRD-Tool, Cricket und 
dem Holt-Winter-Algorithmus 
hat man eine relativ einfach zu 
konfigurierende und somit 
relativ schnell einsatzbereite 
Open-Source-Anwendung, um 
Anomalien zu erkennen. Der 
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Holt-Winter-Algorithmus lie- 
fert vor allem in den Bereichen 
ein respektables Ergebnis, in 
denen man periodisch wieder- 
kehrende Muster hat. Der 
Netzwerkverkehr über einen 
Tag oder eine Woche gesehen, 
bietet ein sehr gutes Beispiel 
hierfür. Der Nutzer muss sich 
darüber im Klaren sein, dass es 
zwei Perioden dauert, bis er die 
ersten verlässlichen Vorher- 
sagen bekommt und man da- 
nach eventuell die Parameter 
noch anpassen muss. Außer- 
dem sollte man bei Ereignis- 
sen, von denen man schon im 
Voraus weiß, dass sie etwas 
Außergewöhnliches darstel- 
len, wie zum Beispiel Feier- 
tage unter der Woche oder 
Backups, die nur einmal im 
Monat/Jahr durchgeführt wer- 
den, die Alarmierung ein- 
schränken beziehungsweise die 
Alarmierten darüber informie- 
ren. Beachtet man dies alles, ist 
man durch den Holt-Winters- 
Algorithmus der Zeit immer ei- 
nen kleinen Schritt voraus und 
kann somit überprüfen, ob sich 
der Netzwerkverkehr so ver- 
hält, wie man es gewohnt ist 
und wie er sollte, oder ob er 
sich anomal verhält und man 
weitere Untersuchungen an- 
stellen sollte, um die Gründe 
dafür herauszufinden. (avr) 
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Speichertechnik 


Leistungsaspekte 


von Festplattenspeichern 


Auslaufmodel 
Harddısk 


Andrej Mücke 


Festplatten sind bislang das bevorzugte 
Speichermedium. Doch während ihre 
Kapazitäten stetig wachsen, treten andere 
Leistungsmerkmale wie Zugriffszeiten auf der 
Stelle. Anspruchsvolle Anwendungen stoßen 
an die Grenzen der Technik. 


as Größenwachstum der 
D Harddisks in den letzten 

20 Jahren beeindruckt: 
Ihr maximales Fassungsver- 
mögen stieg von 100 MByte 
im Jahr 1987 auf derzeit 
1000 GByte. Diese Entwick- 
lung ist auf die stetige Erhö- 
hung der flächenbezogenen 
Speicherdichte (Areal Density) 
zurückzuführen, aus der eine 
Steigerung sowohl der Daten- 
menge pro Spur (Linear Den- 
sity) als auch der Anzahl der 
Spuren pro Plattenoberfläche 
(Track Density) resultiert. Die 
Gesamtoberfläche einer Fest- 
platte nahm in diesem Zeit- 
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raum kontinuierlich ab, zum 
einen durch das Verkleinern 
der Bauform von 5,25“ über 
3,5“ bis hin zu 2,5“, die in 
Notebooks und mittlerweile 
auch in Servern zum Einsatz 
kommen. Zum anderen verrin- 
gerte sich durch die geringere 
Bauhöhe und aus Kostengrün- 
den die Anzahl der Scheiben. 
Schien eine technische Grenze 
erreicht, fanden sich nach 
kurzer Zeit neue Verfahren 
wie früher GMR (Giant Mag- 
neto Resistance) oder heute 
Perpendicular Recording, die 
noch mehr Informationen auf 
gleicher Fläche unterbringen. 


Für die maximale Informa- 
tionsdichte gibt es eine physi- 
kalische Grenze — zurzeit ist 
aber noch nicht abschätzbar, 
wie weit sich zukünftige Ver- 
fahren ihr nähern können. 
Neben dem Speichervolu- 
men sind die Transferraten ge- 
stiegen. Das betrifft sowohl die 
Geschwindigkeit der Schnitt- 
stellen als auch das reale Tem- 
po beim physischen Schrei- 
ben/Lesen auf der Platte. Im 
Vergleich zu den Kapazitäten 
jedoch sind die Netto-Transfer- 
raten um zwei Zehnerpotenzen 
weniger stark gewachsen: von 
unter 1 MByte/s bis auf mehr 
als 100 MByte/s. Der Grund: 
Die Erhöhung der Track Den- 
sity wirkt sich nicht auf die 
Übertragungsgeschwindigkeit 
aus — nur die Steigerung von 
Linear Density und Platten- 
drehzahl erhöhen sie. Zum 
Bremsklotz wird die geringe- 
re Zunahme der Transferge- 
schwindigkeit bei Vorgängen, 
die in Relation zur Gesamtka- 
pazität stehen: Das Kopieren 
oder Prüfen der kompletten 
Platte dauert dadurch umso 
länger, je größer sie ist. 


Transferraten 
halten nicht Schritt 


Leider lassen sich die maxi- 
malen Transferraten nur bei 
rein sequenziellen Operationen 
erreichen. Bei nicht-sequen- 
ziellem Zugriff erfolgt zwangs- 
läufig eine Neupositionierung 
des Kopfträgers auf die ge- 
wünschte Spur. Dieser mecha- 
nische Vorgang durchläuft zu- 
nächst die beiden etwa gleich 
langen Phasen der Beschleuni- 
gung und der Verzögerung des 
Arms. Anschließend erfolgt 
die Feinpositionierung auf die 
Zielspur. Sie dauert je nach 
Spurabstand und Plattenbau- 
weise zwischen 0,3 und 25 ms. 
Die mittlere Zugriffszeit liegt 
typischerweise im Bereich von 
4 bis 12 ms. In der Regel sind 
die Daten einer Applikation 
allerdings nicht über die ge- 
samte Platte verstreut, wo- 
durch sich die reale mittlere 
Zugriffszeit auf ungefähr 1 bis 
4 ms reduziert. 


Hinzu kommt die Zeit, bis 
auf der ausgewählten Daten- 
spur der angeforderte Block 
den Schreib-/Lesekopf pas- 
siert. Im Mittel ist dafür eine 
halbe Umdrehung erforder- 
lich. Je nach Drehzahl bean- 
sprucht diese nochmals 2 bis 
6 ms. Daraus ergibt sich eine 
Obergrenze von 100 bis 300 
V/O-Operationen pro Sekunde. 
Im ungünstigen Fall liest die 
Software pro Operation nur ei- 
nen Datenblock von 4 KByte, 
woraus sich eine effektive 
Transferrate von nur noch 400 
bis 1200 KByte/s ergibt. Selbst 
bei größeren Datenblöcken 
von 16 oder 32 KByte liegt die 
erreichbare Übertragungskapa- 
zität ganz erheblich unter der 
Maximalrate. Das Lesen einer 
kompletten 1-TByte-Disk kann 
auf diese Art mehrere Wochen 
dauern. 


Grenzen 


der Mechanik 


Bei den mechanischen Kom- 
ponenten sind zu vertretbarer 
Kosten-Nutzen-Relation prak- 
tisch keine Leistungssteigerun- 
gen mehr zu erwarten. Eine 
deutliche Steigerung der Dreh- 
zahl stellt höhere Anforderun- 
gen an Antrieb und Lagerung 
des Plattenstapels und erfor- 
dert die Abführung der zusätz- 
lichen Reibungswärme. Dies 
bedingt eine erheblich aufwen- 
digere und damit teurere Kon- 
struktion. Bei mehr als 10 000 
Umdrehungen pro Minute ist 
aufgrund der größeren auf das 
Speichermedium wirkenden 
Fliehkräfte auch eine Reduzie- 
rung des Plattendurchmessers 
nötig — zu Lasten der Kapa- 
zität. Auf dem Desktop ist da- 
her keine Steigerung über die 
zurzeit eingesetzten 7200 Um- 
drehungen pro Minute hinaus 
zu erwarten. Auch für Server 
lohnt es sich nicht, die derzeit 
maximal erhältlichen 15 000 
Umdrehungen pro Minute zu 
steigern, da die Mehrkosten 
in keinem Verhältnis zu der 
geringen Verbesserung von 
Durchsatz und Latenz stehen. 

Im Wesentlichen bestim- 
men Antrieb und Gewicht 
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des Kopfträgers die Geschwin- 
digkeit der Kopfbewegungen. 
Diese Komponenten haben 
aber kaum noch — bezahlba- 
res — Verbesserungspotenzial. 
Zwar lassen sich die Zugriffs- 
zeiten reduzieren, indem man 
den Plattendurchmesser und 
damit die Wegstrecke der 
Köpfe verringert. Allerdings 
würde dies selbst bei einer 
Halbierung der nutzbaren 
Oberfläche nur eine Verbes- 
serung von circa 20 Prozent 
bringen. Die heutige Festplat- 
tenmechanik ist somit weit- 
gehend ausgereizt. 

Zur Leistungssteigerung 
integrierte man schon früh- 
zeitig einen RAM-Cache in 
die Steuerungshardware. Er 
ist im Laufe der Zeit immer 
weiter gewachsen und fasst 
heute meistens zwischen 8 
und 32 MByte. Aufgrund sei- 
ner im Verhältnis zur Gesamt- 
kapazität sehr geringen Größe 
eignet sich dieser Speicher 
vor allem für das Prefetching. 
Dabei liest der Controller 
nach dem gewünschten Da- 
tenblock weitere Blöcke der- 
selben Spur quasi auf Vorrat 
ein. Für eine spürbare Be- 
schleunigung wahlfreier Zu- 
griffe ist der Puffer jedoch 
schlicht zu klein. Außerdem 
speichern die Betriebssysteme 
Plattenzugriffe selbst zwi- 
schen, wodurch die Festplatte 
häufig gelesene Datenblöcke 
gar nicht mehr liefern muss. 


Cache-Nutzung 

mit Risiko 

Die Nutzung des Cache für die 
Beschleunigung von Schreib- 
operationen durch verzögertes 
Schreiben ist riskant, da die 
Gefahr von Datenverlust bei 
Stromausfall besteht. Außer- 
dem lässt sich oft nur eine 
marginale Geschwindigkeits- 
steigerung erzielen, da auch die 
Betriebssysteme das Schreiben 
verzögern. 

In neueren Hybrid-Model- 
len soll Flash-Speicher die 
Leistung verbessern und aus- 
fallsichere Zwischenspeiche- 
rung im Puffer das Schreiben 
beschleunigen. Um eine effi- 
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zientere Nutzung des Caches 
für Lesezugriffe zu erreichen, 
muss allerdings das Betriebs- 
system die Belegung des Puf- 
fers steuern. Durch eine ge- 
eignete Gewichtung lassen 
sich Datenblöcke mit höherer 
Zugriffshäufigkeit bevorzugt 
dort ablegen. Die zu erwarten- 
de Beschleunigung hängt da- 
von ab, wie hoch der Prozent- 
satz eingesparter wahlfreier 
Operationen in einer konkre- 
ten Anwendung ist. 

Das Geschwindigkeitsver- 
halten einer Festplatte ist somit 
durch schnelle sequenzielle 
und langsame nicht-sequen- 
zielle Zugriffen charakterisiert. 
Arbeitet die Software haupt- 
sächlich mit sequenziellen 
Operationen (wie bei Audio/ 
Video-Streams), spielen die 
Zugriffszeiten keine große 
Rolle. Bei Anwendungen mit 
vielen und stark verteilten Da- 
tenblöcken (wie Datenban- 
ken), wirkt die Stagnation der 
Zugriffszeiten zunehmend als 
Bremsklotz: Stark steigende 
Datenvolumina behindern im- 
mer öfter einzelne Anwen- 
dungsbereiche spürbar. 


Mehr RAM hilft 
etwas 


Im Multi-User-Betrieb ist 
durch das Verteilen gleichzei- 
tiger Zugriffe auf mehrere 
Platten innerhalb eines RAID- 
Verbunds eine gewisse Be- 
schleunigung des Durchsatzes 
möglich, eine joborientierte 
Verarbeitung profitiert davon 
allerdings kaum. Software hat 
wenige Möglichkeiten zur Be- 
seitigung der Performance- 
Engpässe: Sie kann versuchen, 
wahlfreie /O-Operationen zu 
reduzieren. Die erfolgver- 
sprechendste Strategie dazu 
besteht in stärkerer Nutzung 
des Hauptspeichers. Dies setzt 
zwar eine Mindestmenge an 
RAM voraus, dafür kann die 
Applikation im Idealfall aber 
den gesamten Datenbestand 
mit wenigen sequenziellen 
Lesevorgängen in den Spei- 
cher laden. Alternativ lassen 
sich gelesene Daten über ei- 
nen längeren Zeitraum im 
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Im Vergleich zur Kapazität haben sich Transferraten und 
Zugriffszeiten von Festplatten in den letzten 20 Jahren 


signifikant weniger verbessert. 


Hauptspeicher halten, um ein 
Nachladen zu vermeiden und 
dadurch ebenfalls die Anzahl 
der Ein-/Ausgabeoperationen 
zu reduzieren. 

Schwieriger ist eine Ände- 
rung der Struktur der gespei- 
cherten Daten, die den Anteil 
sequenzieller Operationen er- 
höht. Auch das Resultat sol- 
cher Modifikationen befriedigt 
nicht immer. Beispielsweise 
liest ein Datenbanksystem 
bei der Vergrößerung von 
Datenblöcken zwar mehr Da- 
ten pro Operation, falls die 
Anwendung diese aber nicht 
kurzfristig benötigt, kann der 
Beschleunigungseffekt gegen 
Null gehen. 


Alternative 
Solid State Disk 


Als Alternative zu herkömm- 
lichen Festplatten kommen 
in letzter Zeit zunehmend 
Solid State Disks (SSD) aus 
Flash-Speicher-Chips in Be- 
tracht. Da sie auf mechani- 
sche Komponenten verzichten, 
sind die Zugriffsraten kKon- 
kurrenzlos niedrig. Mit we- 
niger als 0,3 ms im Durch- 
schnitt lassen sich über 3000 
Random-V/Os pro Sekunde 
durchführen. Dies gilt bislang 
jedoch nur für die Lesezu- 
griffe. Beim Schreiben vieler 
kleiner Datenblöcke hinge- 
gen wachsen die Zugriffszei- 
ten stark und liegen auf dem 
Niveau derjenigen von Fest- 
platten. Die Ursache für die- 
sen Effekt sind die größeren 
Speicherblöcke (16 KByte) 
als bei Platten (512 Byte). 


Bei sequenziellen Opera- 
tionen erreichen die Transfer- 
zeiten noch nicht die Werte 
schneller Harddisks. Im Zuge 
der technischen Weiterent- 
wicklung ist aber sowohl eine 
deutliche Steigerung der Trans- 
ferraten als auch eine Verbes- 
serung der Zugriffszeiten bei 
Schreiboperationen zu erwar- 
ten. SSDs verfügen außerdem 
über eine geringe Stoßemp- 
findlichkeit und benötigen we- 
nig Strom: unter einem Watt 
gegenüber den 5 bis 17 Watt 
einer Festplatte. Ein angeneh- 
mer Nebeneffekt von SSDs ist 
der geräuschlose Betrieb. Die 
Nachteile liegen derzeit vor al- 
lem im hohen Preis, den im 
Vergleich zu Festplatten gerin- 
geren Kapazitäten und niedri- 
geren Transferraten. 


Fazit 


Unter Performance-Gesichts- 
punkten ist die Festplatte ein 
Auslaufmodell. Für eine Wei- 
le wird sie aufgrund des guten 
Preis-Kapazitäts-Verhältnis- 
ses noch einen Platz haben, 
wo die Zugriffsgeschwindig- 
keit nachrangig und hohes 
Speichervolumen notwendig 
sind. Die Zukunft gehört 
den Flash-Speichersystemen, 
die mehr Potenzial zur tech- 
nischen Weiterentwicklung 
bieten. (ck) 
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Virtualisierung 


Microsofts neue Server-Konsolidierung: Windows Server Hyper-V 


Mit direktem 
Zugriff 


Christian Segor 


Keine Frage, 


Virtualisierung ist en vogue. 
Microsofts diesbezügliche 

Angebote sind aber zurzeit für den 
professionellen Einsatz kaum geeignet. 
Zusammen mit dem Windows Server 2008 soll sich 


das ändern. 


er als CIO etwas auf 
sich hält, hat sich, 
um über Virtualisie- 


rung mitreden zu können, 
längst mit dem notwendigen 
Wissen aus der Fachpresse 
oder zumindest der ein oder 
anderen Buzzword-Publika- 
tion versorgt. Die Vorteile 
virtualisierter IT-Systeme sind 
oft beschrieben und liegen zu- 
dem klar auf der Hand. 

In einer sauber entworfenen 
IT-Infrastruktur ist die Auftei- 
lung verschiedener Aufgaben 
auf unterschiedliche Server 
durchaus gewollt. Es mag ja 
noch angehen, netzlastige 
Dienste wie DNS, WINS oder 
DHCP auf einer Maschine zu- 
sammenzupacken, aber viele 
Administratoren verspüren be- 
rechtigterweise eine mehr oder 
weniger deutliche Nausea bei 
dem Gedanken, den MS SQL 
Server und Exchange auf dem- 
selben Server zu installieren 
oder den Intranet-IIS mit einem 
DC zu verheiraten. 

Abhilfe kann eine konse- 
quente Verwendung virtuali- 
sierter Hardware schaffen. 
Auf einem physischen System 
laufen mehrere logische Ser- 
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ver-Instanzen, die Ressourcen 
werden besser genutzt, der 
beschriebene modularisierte 
Ansatz bleibt aber trotzdem 
bestehen. „Ein Service pro 
Server“ kann man mittels Vir- 
tualisierung überhaupt erst 
realisieren. 

Umso erstaunlicher ist es, 
dass Virtualisierungsproduk- 
te bisher keine sonderlich tie- 
fe Marktdurchdringung errei- 
chen konnten. Klar, jeder 
betreibt eine Testumgebung 
auf VMware & Co.; in der 
Produktion hingegen verlas- 
sen sich viele ITler jedoch 
lieber auf echtes Blech. Der 
Anteil virtualisierter Server 
schwankt je nach Marktfor- 
schungsinstitut, bewegt sich 
allerdings konstant um die 
5 %-Marke herum. Analysten 
schätzen, dass sich dieser 
Anteil in den nächsten drei 
Jahren zwar erhöhen, aber 
immer noch deutlich unter 
20 % bleiben wird. 

In diesen aufstrebenden 
Markt hinein platziert Micro- 
soft seine neue Virtualisie- 
rungstechnologie namens Win- 
dows Server Hyper-V - die 
Bestandteil des Windows Ser- 


ver 2008 sein wird. Hyper-V 
ist nicht das erste Virtualisie- 
rungsprodukt aus Redmond 
(man denke an Virtual PC oder 
Virtual Server), wohl aber das 
erste, das wirklich für den pro- 
fessionellen RZ-Betrieb geeig- 
net zu sein scheint. 


Zugriff am 
Host-System vorbei 


Es gibt grob gesagt zwei An- 
sätze für die Virtualisierung 
von Betriebssystemen, die 
sich vor allem durch die Po- 
sition des Virtual Machine 
Managers (VMM) im OS-Ar- 
chitekturmodell unterschei- 
den, also der Komponente, 
die die tatsächlichen System- 
ressourcen virtualisiert und 
den Gastsystemen zur Verfü- 
gung stellt. Im Fall der Hos- 
ted Virtualization (hierzu 
zählen Virtual PC und Virtu- 
al Server, aber auch die Kon- 
kurrenzprodukte VMware 
Workstation und VMware 
Server) läuft der VMM ent- 
weder irgendwo neben dem 
gastgebenden Betriebssystem 
im Kernel oder oberhalb als 


User-Prozess. Beim Zugriff 
auf Ressourcen sind diese 
VMs somit auf das Wohlwol- 
len des Host-OS angewiesen, 
das den VMM im Zweifels- 
fall als einen Prozess von 
vielen betrachtet. 

Hyper-V hingegen bringt 
einen VMM mit, der - ähnlich 
dem Xen-Ansatz — direkt auf 
der Hardware läuft, was als 
Native Virtualization bezeich- 
net wird. Der ESX-Server von 
VMware ist eine leichte Ab- 
wandlung dieses zweiten 
Modells. Einen Grundlagen- 
artikel zur Virtualisierung 
von Betriebssystemen hat iX 
in der Januar-Ausgabe veröf- 
fentlicht [1]. 

Microsoft selbst bezeich- 
net diesen speziellen Typus 
eines VMM als „Hypervi- 
sor“, anderen Ortes werden 
die Begriffe „VMM“ und 
„Hypervisor“ synonym be- 
nutzt. Da der VMM hier über 
einen direkten und exklusi- 
ven Zugriff auf die Hardware 
verfügt, sind VMs nicht mehr 
auf die Kooperation des 
Host-OS angewiesen, viel- 
mehr läuft das Host-OS mehr 
oder minder parallel und 
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gleichberechtigt zu den ver- 
schiedenen Gast-OS (siehe 
Abbildung 1). 

Ob man in diesem Fall 
überhaupt noch von Host-OS 
reden kann, sei dahingestellt 
— Hyper-V unterscheidet dann 
auch zwischen einer Parent 
Partition, die gewissermaßen 
die Rolle des Host-OS über- 
nimmt und in der diverse 
Kontrollprozesse laufen, und 
den Child Partitions, die die 
eigentlichen VMs darstellen. 
Läuft in einer VM ein Be- 
triebssystem, das Hypervisor- 
aware ist, kann diese VM di- 
rekt auf die von Hyper-V zur 
Verfügung gestellten virtuel- 
len Ressourcen zugreifen. 
Die virtuellen Geräte werden 
von sogenannten Virtualiza- 
tion Service Providers (VSP) 
in der Parent Partition ange- 
boten und von Virtualization 
Service Clients (VSC) in je- 
der Child Partition benutzt. 
VSP und VSC kommunizie- 
ren über eine Art Software- 
Bus namens VMBus (siehe 
Abbildung 2). 

Momentan sind nur Win- 
dows Server 2003 und 2008 
Hypervisor-aware, für alle 
anderen Gast-Betriebssyste- 
me kommt eine Emulation 
zum Einsatz, die zwar die 
Performance beeinträchtigt, 
die grundsätzliche Funktio- 
nen aber beinhaltet, indem sie 
VSC und VMBus zum Gast- 
OS hin kapselt. 

Bei den Gast-OS kann es 
sich sowohl um 32-Bit- als 
auch um 64-Bit-Systeme 
handeln, im letzten Fall kön- 
nen mehr als 4 GByte virtuel- 
ler Hauptspeicher zur Verfü- 
gung gestellt werden. Bei 
Bedarf kann der Administra- 
tor einer VM direkten Zugriff 
auf eine physikalische Fest- 
platte einrichten, andernfalls 
speichern VMs ihre Daten 
auf virtuellen Platten im 
VHD-Format [2]. Hyper-V 
unterstützt den Volume Sha- 
dow Service für Datensiche- 
rungen und ermöglicht so 
dem Administrator, Snap- 
shots virtueller Maschinen 
anzufertigen; sinnvoll etwa 
vor dem Einspielen von Ser- 
vicepacks und Hotfixes. 
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In virtualisierten Umge- 
bungen steigen die Anforde- 
rungen an die Verfügbarkeit 
der gemeinsam genutzten 
Hardware — durchaus ver- 
ständlich, kann doch ein Hard- 
ware-Problem oder auch nur 
eine notwendige Wartung un- 
ter Umständen den Ausfall 
zahlreicher virtueller Server 
bedeuten. Beim professionel- 
len Einsatz virtueller Server 
ist somit eine Konstellation 
vonnöten, die es dem Admi- 
nistrator erlaubt, VMs ohne 
nennenswerte Ausfallzeiten 
von einem System auf ein an- 
deres zu verlagern. 


Virtuelle Maschinen 
im Cluster 


Zu diesem Zweck unterstützt 
Hyper-V die Cluster-Funktio- 
nen des Windows Server 2008. 
Neben einer geplanten Verla- 
gerung der VMs bieten sie ei- 
nen automatischen Failover, 
sodass unerwartete Hardware- 
Ausfälle (die es bei sinnvoll 
überwachter Qualitätshardware 
eigentlich kaum mehr geben 
dürfte) mit nur geringen Ru- 
ckeleien und ohne Eingriff 
des Administrators gemeistert 
werden. Ferner unterstützt der 
neue Server den Aufbau von 
Geo-Clustern mit einfachen 
Mitteln (die Verteilung der 
Cluster-Knoten auf mehrere 
Standorte), was für Hochver- 
fügbarkeits-Jünger ziemlich 
attraktiv ist. 

Hyper-V lässt sich als zu- 
sätzliche Serverrolle auf jeder 
64-Bit-Variante des neuen 
Servers installieren — dabei 
schiebt sich der VMM gewis- 
sermaßen zwischen OS und 
Hardware. Eine Hyper-V-In- 
stallation auf der Standard 
Edition ist wohl nur für Test- 
umgebungen sinnvoll. Für 
den Produktiveinsatz sollte 
der Administrator mindestens 
zur Enterprise Edition greifen, 
nicht zuletzt aus Lizenzgrün- 
den, sind doch in dieser Li- 
zenz zusätzlich vier für virtua- 
lisierte Server enthalten. Die 
Datacenter Edition beinhaltet 
sogar unlimitierte virtuelle 
Nutzungsrechte. 
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Virtualisierung 


Virtualisierungsmodelle 


Host-OS 


Hardware 


Virtualisierung mittels Software, die auf dem Host-OS läuft. 


Beispiel: Virtual Server von Microsoft 


Consolen-OS 


Beispiel: ESX-Server von VMware 


Host-Partition 


Hardware 


Die virtualisierten Gast-Systeme greifen über die VMM auf die Hardware zu. 


Hardware 


Eigenständige Server-Betriebssysteme greifen über die VMM auf die Hardware zu. 


Beispiel: Server Hyper-V von Microsoft 


Die Hosted Virtualization ist für den professionellen 
Einsatz kaum geeignet, da die Gastsysteme mit allen ihren 
Funktionen auf das Betriebssystem angewiesen sind, 
unter dem der VMM läuft (Abb. 1). 


Windows Server Hyper-V 


Host-Partition 


Windows Server 
2008 


Windows 
Kernel 


Hardware 


Gast-Partition 


Anwendungen Anwendungen 


Windows 
Kernel 


Gast-Partition 


Alle Betriebssysteme, auch das in der Host-Partion, greifen 
direkt über den VMM auf die Hardware zu (Abb. 2). 


Es ist erfreulich, dass sich 
Hyper-V auch auf dem soge- 
nannten Server Core installie- 
ren lässt. Dabei handelt es sich 
um eine stark reduzierte Vari- 
ante vom 2008-Server, die oh- 
ne GUI und sonstigen Schnick- 
schnack daherkommt [3]. 
Diese Reduktion soll die Stabi- 
lität erhöhen und verringert 
gleichzeitig die Fläche für po- 
tenzielle Angriffe. Hyper-V auf 
einem Server Core eignet sich 
beispielsweise ganz vorzüglich 
für die Realisierung von virtua- 


lisierten Zweigstellen-Konzep- 
ten und Ähnlichem. 


Voraussetzungen 


und Verfügbarkeit 


Neben der 64-Bit-Fähigkeit 
der Hardware benötigt Hyper- 
V einen Prozessor, der VT 
von Intel [4] oder AMD-V [5] 
unterstützt, sowie hardware- 
basierte „Data Execution Pre- 
vention“ [6]. Eine Beta von 
Hyper-V soll gleichzeitig mit 


der finalen Version von Win- 
dows Server 2008 erscheinen, 
die Release ist spätestens 180 
Tage danach fällig. Weitere 
drei Monate später wollen die 
Redmonder den Hyper-V-Ser- 
ver auf den Markt bringen, ei- 
ne Art Stand-alone-Variante 
von Hyper-V, die ohne Server 
2008 betrieben werden kann. 
Momentan ist Hyper-V 
als Customer Technology 
Preview (CTP) für den RCO 
der 2008-Version verfügbar. 
Der interessierte Administra- 
tor kann diese CTP mittels 
Windows Update direkt auf 
eine RC0x64-Installation her- 
unterladen. Die Installation 
auf Server Core ist mit der 
CTP nicht möglich. (WM) 
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Java-Programmierung 


oogle Guice, ein Open- 
G Source-Framework für 

die Dependency Injec- 
tion (DD), entstand während 
des Ausbaus der Internet-Wer- 
beanwendung AdWords und 
sollte dort Probleme bei der 
Team-Skalierung beheben, die 
in Projekten mit mehreren 
Hundert Entwicklern auftreten. 
Trotz anerkannter DI-Frame- 
works wie dem populären 
Spring [1] wollte Google ei- 
ne eigene, besonders leicht- 
gewichtige Variante für die 
interne Softwareentwicklung 
einsetzen (siehe Kasten „Lose 
Beziehung“). 

Generics und Annotations 
aus Java5 sind wesentlicher 
Bestandteil des Framework 
[2]. Zudem unterstützt Guice 
eigene Scopes (siehe Glossar), 
aspektorientierte Programmie- 
rung (AOP) sowie die Spring- 
Integration. Die Fähigkeit zum 
Injizieren statischer Attribute 
sowie das Management zirku- 
lärer Referenzen runden das 
Bild ab. 

Als Beispiel dient hier eine 
Anwendung zur Urlaubspla- 
nung, die Hotels bucht (Abbil- 
dung 1). Das Planer-Objekt 
(Aufrufer) spricht ein Interface 
Booking an, hinter dem sich 
konkrete Implementierungen 
(Zielobjekte) verbergen. Um 
während des Entwickelns nicht 
fortwährend das echte Ziel- 
system abfragen zu müssen, 
kommt hier ein sogenanntes 
Mock-Objekt (Dummy) zum 
Einsatz. Für den Produktivbe- 
trieb soll der Entwickler ein- 
fach umschalten können. 

Das Framework soll be- 
sonders schlank wirken und 
den „Boilerplate Code“ massiv 
reduzieren. Statt Fleißarbeit zu 
leisten, soll sich der Entwick- 
ler mit dem Wesentlichen be- 


Google Guice: Framework für Dependency Injection 


Codeabhängig . 


Tobias Lütticke, Christian Meder 


Google Earth und Maps sind Beispiele für die Innovations- 
freude des Suchmaschinengiganten. Weitere Projekte 
haben sich in Googles haus- 


interner Entwicklung 
bewährt. Ein junger 
Spross dieser 
Familie ist das 
Open-Source- 
Framework Guice, 
eine schlanke 
Alternative zu Spring. 


schäftigen. Dazu konzentriert 
sich Guice ausschließlich auf 
eine performante Umsetzung 
der DI und ist entsprechend 
abgespeckt, sowohl was die 
Größe der JAR-Files als auch 
den Speicherverbrauch angeht. 
Die Abhängigkeiten verwal- 
tet Guice nicht in zentralen 
XML-Dateien, sondern hinter- 
legt sie im Java-Code. 


Konflikte lösen 
mit Java 


Erfahrungen haben gezeigt, 
dass die Entwicklung nicht 
skaliert, wenn zu viele Betei- 
liste um den Zugriff auf Kern- 
komponenten konkurrieren. 
Hässliche Konflikte sind bei 
der Arbeit mit gemeinsam ge- 


nutzten XML-Dateien unver- 
meidbar. Das Bearbeiten von 
Java-Dateien ist zudem einfa- 
cher und weniger fehlerträch- 
tig als das von großen XML- 
Dateien. Das Refactoring wird 
dadurch spürbar erleichtert und 
durch Tools besser unterstützt. 

Den Praxistest hat Guice in 
AdWords bereits bestanden. 
Außerdem ist eine frühe Ver- 
sion Bestandteil des bekannten 
Web-Frameworks Struts2, in 
dem sie das zentrale Element 
der Plug-in-Architektur stellt. 
Guice kann in allen Java- 
Anwendungen nutzbringende 
Dienste verrichten. Besonders 
profitieren große Projekte und 
solche, die sich ausschließlich 
auf eine effiziente Dependency 
Injection konzentrieren. Hier 
kann Guice seine Stärken wie 


Injection". 


A-TRACT 


@ Google Guice ist ein leichtgewichtiges Framework für das Programmierkonzept „Dependency 


© Im Gegensatz zu alternativen Angeboten beschränkt sich Guice auf ein Thema; Spring beispiels- 
weise bietet einen erheblich größeren Funktionsumfang. 


© Außerhalb von Google gibt es bislang kaum Guice-Anwendungen. Durch die Marktmacht des 
Suchmaschinenanbieters könnte sich die Situation jedoch künftig anders darstellen. 
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Schlankheit und XML-freies 
Wiring ausspielen (siehe Kas- 
ten „Gut verdrahtet“). 

Als Beispiel dient wieder 
die Anwendung zur Urlaubs- 
planung. Guices Aufgabe ist 
es, dem Planer das gewünsch- 
te konkrete Booking-Objekt 
zuzuordnen, auf das er über 
das Interface zugreift. Im be- 
trachteten Fall soll dieses das 
Objekt MockBooking sein. 
Dazu muss geklärt sein, was 
wo injiziert wird. Den ersten 
Teil der Frage beantwortet ein 
sogenanntes Modul mit einem 
„Binder“, die gemeinsam das 
Interface der Implementierung 
zuweisen. Der folgende Code- 
Schnipsel bildet ein solches 
Modul und bindet mithilfe der 
bind( )-Methode das Interface 
Booking an die konkrete Klas- 
se MockBooking. 


public class PlanerModule7 
implements Module { 
public void configure[Binder binder) { 
binder.bind(Booking.class].to7 
[MockBooking.class]; 
} 


} 


Um das „wo“ kümmert sich 
eine @Inject-Annotation im 
Planer-Objekt: 
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Java-Programmierung 


Glossar 


Boilerplate Code: Sich wie- 
derholender, aber erforder- 
licher Schema-F-Code, der 
keine Geschäftslogik abbil- 
det. 


Injector: Komponente, die 
eine Abhängigkeit erfüllt, in- 
dem sie das gewünschte Ob- 
jekt injiziert. 

Modul: Container für Bin- 
dings, der festlegt, was zu in- 
Jjizieren ist. 

Binding: Verknüpfung zwi- 
schen einem Interface und 
seiner Implementierung. 


Scope: Gültigkeitsbereich ei- 
nes injizierten Objekts (zum 
Beispiel Request, Session, 
Singleton). 


(Custom) Provider: Erzeugt 
die zu injizierenden Objekte. In 
der Variante „Custom“ zur in- 
dividuellen Anbindung appli- 
kationsfremder Komponenten. 


Bootstrapping: lInitialisie- 
rung von Guice durch Injek- 
tion des Wurzelobjekts, um 
das Auto-Wiring anzustoßen. 
Das vermeidet, später für je- 
des Injizieren den Injector er- 
neut abfragen zu müssen. 


Annotations: Meta-Informa- 
tionen, die der Entwickler im 
Quellcode der Java-Klassen 
mit vorangestelltem „@“-Zei- 
chen hinterlegt. 


Generics: Mit Typparame- 
tern parametrisierbare Metho- 
den und Klassen. 


Gut verdrahtet 


Wiring bezeichnet die Art und 
Weise, wie das Framework 
Abhängigkeiten zwischen Ob- 
jekten verwaltet. Es existieren 
zwei grundlegende Ausprägun- 
gen: die explizite Darstellung 
in XML beziehungsweise Java 
und das automatische Auswer- 
ten durch das Framework zur 
Laufzeit (Auto-Wiring). 


Auswerten lassen sich beide 
Varianten. Im Falle des Auto- 
Wiring versucht das Frame- 
work, die Beziehungen zwi- 
schen den Komponenten selbst 
zu ergründen. Das erzeugt 
allerdings mit zunehmender 
Komplexität der Anwendung 
ein Problem: Die Performance 
wird immer schlechter. 


Lose Beziehung 


Dependency Injection (DI) ist 
ein populäres Konzept in der 
Softwareentwicklung. Zwei 
der primären Ziele: Wieder- 
verwendbarkeit und Wartung 
von Software durch lose Kopp- 
lung von Komponenten zu ver- 
einfachen sowie das Testen zu 
erleichtern. 


Wenn ein Objekt A eine Re- 
ferenz auf ein Objekt B hält, 
kennt es in der Regel dessen 
Implementierung. Das DI-Kon- 
zept sieht vor, dass die Ab- 
hängigkeiten zwischen dem 
Aufrufer A und von ihm an- 
gesprochenen Zielen B nicht 
mehr in A hinterlegt werden. 
Welche Realisierung des Ziel- 
objekts B konkret anzuspre- 
chen ist, wird dem Aufrufer 
erst bei Bedarf mitgeteilt. Die 
Beziehung zu dem konkreten 
B wird dazu in A „injiziert“. 
Als Aufrufer kennt A also das 
zu verwendende Zielobjekt 
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bis zur endgültigen Injektion 
nicht. 


DI ist eine Anwendung des Pa- 
radigmas Inversion of Control 
(IoC), auch Hollywood Princi- 
ple genannt: Don’t call us, 
we’ll call you. Auf diese Weise 
erlaubt es Dependency Injec- 
tion, verschiedene Nutzungs- 
szenarien zu verwenden, ohne 
den Quellcode des Aufrufers 
dafür anpassen zu müssen, et- 
wa wenn neue Realisierungen 
der Zielobjekte hinzukommen. 
Gängiges Beispiel für ein sol- 
ches weiteres Ziel ist ein Ser- 
vice als vereinfachte Variante 
des ursprüngliches Dienstes für 
Testzwecke. Wenn der eigent- 
liche Dienst viele Ressourcen 
braucht und lange läuft oder 
überhaupt nur in der Produk- 
tivumgebung zur Verfügung 
steht, erlaubt die Ausprägung 
als Mock-Objekt (Dummy) ein 
(schnelleres) Testen. 


public class Planer { 
private final Booking booking; 
@lnject 
public Planer(Booking booking) { 
this.booking = booking; 
} 
} 


Die @Inject-Annotation gibt 
an, dass mithilfe des Kon- 
struktors ein Objekt vom Typ 
Booking zu injizieren ist. Das 
Framework beherrscht Kon- 
struktor-Injection (wie im 
Beispiel) sowie Method und 
Field Injection. Das bedeutet, 
dass Guice auch beliebige 
annotierte Methoden nutzen 
oder direkt in ein Attribut inji- 
zieren kann: 


@lInject String name; 


Injizierbare Elemente sind pri- 
mitive Typen wie int oder 
char, außerdem Enums und 
ganz allgemein Instanzen be- 
liebiger Klassen. 

Das Testszenario lässt sich 
weiter vereinfachen, indem 
man auf das PlanerModule 
mit seinem Binding verzichtet 
und im Interface mithilfe der 
Annotation @/mplementedBy 
ein Default-Binding angibt: 


@lmplementedBy[MockBooking.class] 
public Interface Booking { 

// Methoden 

} 


Hat der Entwickler die Abhän- 
gigkeiten modelliert, Kann 
Guice seine Tätigkeit begin- 
nen. Es unterscheidet Initia- 
lisierung und Laufzeit. Beim 
Start der Applikation beginnt 
das Bootstrapping mit dem In- 
jizieren eines Wurzelobjekts. 
Den Rest erledigt Guice, in- 
dem es sich durch den Abhän- 
gigkeitengraphen hangelt und 
rekursiv alle weiteren Injektio- 
nen vornimmt. Dabei findet 
eine Validierung statt, die auf 
Lücken oder Fehler hinweist. 
Die Verwendung ist so einfach 
wie in diesem Beispiel: 


public class Urlaubsplanung { 
public static void main(String[]7 
args]| 
Injector injector = Guice.create7 
Iniector(]; 
Planer planer = injector.7 
getInstance (Planer.class); 


// Geschäftslogik 
} 


Teil eines jeden Bindings ist 
ein Provider, der Instanzen der 
registrierten Klasse bereit- 
stellt. In gewissen Fällen kann 
es sinnvoll oder unumgänglich 
sein, Objekte selbst zu erzeu- 
gen und dies nicht dem inter- 
nen Standard-Provider zu 
überlassen. Setzt man eine 
fremde Bibliothek ein, so lässt 
sich dort zum Beispiel keine 
@Inject-Annotation eintragen. 
Mithilfe eines Custom Pro- 
viders ist es aber trotzdem 
möglich, das Binding vorzu- 
nehmen. Custom Provider er- 
lauben auch die Integration 
mit über JNDI oder JMX ge- 
lieferten Objekten. 


Keine Angst vor 
Spritzen 


Schlüsselelement in der Guice- 
Struktur ist der Injector, der 
die Bindings verwaltet (Ab- 
bildung 2). Letztere verwen- 
den eine Annotation am In- 
jektionsziel und beziehen sich 
auf einen Typ, den es zu inji- 
zieren gilt. Der Provider er- 
zeugt die Instanzen des Typs. 
Der Scope eines Bindings ist 
eine optionale Angabe und 
steuert das Wiederverwenden 
erzeugter und injizierter Ob- 
jekte. Für jede Injektion legt 
Guice im Standardfall eine 
neue Instanz des betroffenen 
Objekts an. Alternative Scopes 
sind „Singleton“, „Request“ 
und „Session“. 

Über die beschriebenen 
grundlegenden Mechanismen 
hinaus kennt Guice etliche 
weiterführende Möglichkei- 
ten. Dazu gehört die Definition 
eigener Annotationen, die bei- 
spielsweise eine zusätzliche 
Zuordnung von Flug- und 
Mietwagenbuchung erlaubt. 

Wer Dependency Injection 
oder Inversion of Control hört, 
denkt in der Regel zuerst an 
Spring. Nicht zu Unrecht, 
handelt es sich doch um den 
De-facto-Standard, der eine 
aktive Community hinter sich 
versammelt hat. Wie schon 
erwähnt, sieht Google trotz 
dessen Existenz Bedarf für ei- 
ne eigene Lösung. Auch Al- 
ternativen wie jBoss Seam, 
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Apache HiveMind oder Pico- 
Container hielten das Unter- 
nehmen nicht von der Eigen- 
entwicklung ab. 

Beide Frameworks — Spring 
und Guice — gehören zu den 
Open-Source-Erzeugnissen und 
stehen unter der Apache-2.0- 
Lizenz. Annotations und Ge- 
nerics als Bestandteile von 
Guice erlauben die Nutzung 
erst ab Java 5. Für Spring gilt 
das nicht, es lässt sich selbst 
mit dem JDK 1.3 einsetzen 
und bietet deutlich mehr 
Funktionen als Guice. Wäh- 
rend sich Letzteres auf DI 
konzentriert, unterstützt Spring 
zudem Transaktionen, Persis- 
tenz und besitzt ein eigenes 
Web-Framework. Subprojekte 
existieren für Konfiguration, 
Security, Batch-Jobs und eini- 
ge mehr. 

Die Definition von Abhän- 
gigkeiten zwischen Objekten 
bildet das Rückgrat eines DI- 
Framework. Wie die Abhän- 
gigkeiten hinterlegt und aus- 
gewertet werden (Wiring der 
Objekte) ist eine kennzeich- 
nende Eigenschaft. Hier zeigt 
sich ein weiterer wesentlicher 
Unterschied zwischen Spring 
und Guice. Spring erlaubt so- 
wohl die explizite Darstel- 
lung als auch das Auto-Wi- 
ring. Guice verfolgt einen 
anderen Ansatz: Es setzt zwar 
auf eine explizite Darstellung, 
umgeht aber das geschwätzige 
XML-Format, indem es die 
Zusammenhänge über Java- 
Annotationen im Quellcode 
unterbringt. Dieses Vorgehen 
lässt sich als Mischung zwi- 
schen der ausführlichen, aber 
wartungsintensiven expliziten 
Darstellung und dem Auto- 
Wiring auffassen. Spring er- 
laubt zwar mit JavaConfig 
ebenfalls das Anlegen von Ab- 
hängigkeiten im Java-Code, 
offiziell befindet sich dieses 
Subprojekt allerdings noch im 
Alpha-Zustand. 


Klein, schnell, 
übersichtlich 


Seine Performance-Vorteile 
gegenüber Spring spielt Guice 
sowohl beim Start der An- 
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wendung als auch 
zur Laufzeit aus, 
wenn es um das 
Erzeugen der an- 
geforderten Objek- 
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te geht. Den Vor- 
sprung bei der 
Anlage der Objekte 
erzielt Guice durch 
die Java5-Fähig- 
keiten zur Neben- 
läufigkeit. Außerdem ver- 
zichtet es auf das Erzeugen 
der Proxy-Objekte, die Spring 
einsetzt. Wie relevant das in 
der Praxis ist, hängt jedoch 
vom Charakter der Applika- 
tion ab. 

Neben den technischen Ei- 
genschaften sowie dem Funk- 
tionsumfang zählen bei der 
Wahl eines Werkzeugs As- 
pekte wie seine Komplexität. 
Google sieht Guice in Bezug 
auf Einfachheit, Übersichtlich- 
keit, Wartbarkeit, Erlernbarkeit 
und Performance gegenüber 
Spring klar im Vorteil. 

Insgesamt haben die zahl- 
reichen Vergleiche der beiden 
Frameworks in den entspre- 
chenden Kreisen Aufregung 
erzeugt. Letztlich läuft es je- 
doch nicht auf eine Entweder- 
oder-Entscheidung hinaus, da 
zwar beide DI-Container sind, 
jedoch einen unterschied- 
lichem Fokus setzen: Guice 
hinterlässt einen kleinen „Foot- 
print“, während sich Spring 
als umfassende und mächtige 
Lösung anbietet. Ein Gutteil 
ihrer XML-Komplexität resul- 
tiert zudem aus Funktionen 
außerhalb von DI. Da Guice 
diese Bereiche nicht abdeckt, 
entsteht keine echte Rivalität. 
Die Koexistenz beider Frame- 
works ist denkbar, denn Guice 
erlaubt das Einbinden von 
Spring Beans. 

Der Plan für Guice 2 ent- 
hält eine ganze Reihe von Er- 
weiterungen, unter anderem 
Construction Listener und eine 
Introspection API. Die Liste- 
ner bieten Einstiegspunkte bei 
der Objekterzeugung zum Ein- 
haken eigener Logik. Die 
API-Erweiterung soll Interna 
des Injector-Objekts offenle- 
gen und vollständigen Zu- 
gang zum Abhängigkeitsgra- 
phen erlauben. Das würde 


Der Planer greift über ein Booking- 
Interface auf die konkreten Klassen 
HotelBooking und MockBooking zu 
(Abb. 1). 


beispielsweise Visualisierungs- 
werkzeugen einen Ansatz- 
punkt bieten. Ferner nennt 
die Roadmap Provider-Me- 
thoden, mit denen sich Mo- 
dulklassen einfacher gestal- 
ten lassen sollen. Custom 
Provider könnten damit ein 
flexibleres Binding durchfüh- 
ren, das zum Beispiel nur in 
einem bestimmten Scope 
wirksam wird. 


Keine Eintagsfliege 


Guice ist noch so neu, dass 
außerhalb von Google wenige 
produktive Anwendungen exis- 
tieren. Eine Ausnahme bildet 
das erwähnte Web-Framework 
Struts2. Der Google-Hinter- 
grund und der Einsatz in Ad- 
Words werden aber dafür sor- 
gen, dass Guice nicht als 
Eintagsfliege endet. Weiteres 
Indiz dafür sind die mittlerweile 
existenten Third-Party-Module. 
Dazu gehören etwa Kompo- 
nenten, die das Zusammen- 
spiel von Guice mit Hibernate 
oder dem Ajax-Framework 
DWR ermöglichen. 

Auf der Sollseite schlägt 
sich die noch recht übersicht- 
liche Projektdokumentation 
nieder. Die zunehmend er- 
scheinenden Erfahrungsberich- 
te und Anleitungen mildern 
dieses Manko etwas ab. Vom 
architektonischen Standpunkt 
aus ist außerdem zu bedenken, 
dass die proprietären Anno- 
tations die Wiederverwend- 
barkeit von Klassen in Nicht- 
Guice-Projekten erschweren. 
Guice ist relativ leicht zu er- 
lernen und seine Einführung 
einfach — auch in bestehende 
Projekte. Dass sich das Fra- 
mework schrittweise instal- 
lieren lässt, ist ein weiterer 
Vorteil. (jd) 


cd Design Model | 


Injector 
(intern) 


Binding 


Scope 
| Typ | (optional) 


‚Annotation Provider 


Abhängigkeiten verwaltet 
Guice in Form von Bindings, 
die aus zu erzeugendem 
Objekttyp, Annotation und 
Scope bestehen. Der 
Provider liefert das Objekt 
an den Injector (Abb. 2). 
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Semantic Web 


__ SPARQL 


unke 


jr RDF-Daten 


wm 


RDF heißt die Basis des vom World Wide Web Consortium 
propagierten Semantic Web. Mit Metadaten angereicherte Dokumente 
sollen Maschinen „Verstehen“ ermöglichen. Für die Suche in solch 
semantisch angereicherten Webdokumenten hat das Konsortium als 
Anfragesprache SPARQL vorgesehen. 


it dem Resource 
Description Frame- 
work (RDF) hat das 


World Wide Web Consor- 
tium (W3C) vor drei Jahren 
seine Empfehlung zur Reprä- 
sentation von Metadaten in 
einem gerichteten, mit einem 
Label versehenen Graphen 
veröffentlicht. RDF ist nach 
XML die zweite wesentliche 
technische Grundlage des 
W3C für das Semantic Web. 
Mit SPARQL - einem aus 
„SPARQL Protocol and RDF 
Query Language“ gewonne- 
nen Kunstwort, das wie das 
englische sparkle (deutsch: 
funkeln, glitzern) zu sprechen 
ist — steht das Konsortium nun 
vor der Verabschiedung einer 
für RDF geeigneten Query- 
Sprache. 

Queries auf Daten auszu- 
führen ist offensichtlich nur 
dann eine spannende Angele- 
genheit, wenn schon Daten 
vorliegen. Nun hat sich das 
Semantic Web in der öffent- 
lichen Wahrnehmung nicht 
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als das große Thema eines 
neuen Web erwiesen, als das 
es viele vor einigen Jahren ge- 
sehen haben. Stattdessen steht 
im Mittelpunkt des sogenann- 
ten Web 2.0 der Mensch, und 
das „neue“ Web heißt oft 
„Mitmach-Web“. Wer jedoch 
genau hinsieht, findet an vie- 
len Stellen des Web 2.0 Ideen 
des semantischen. Aus diesem 
Grund sollen Web-2.0-Daten 
hier als Grundlage dienen. 
Die größeren der folgen- 
den Codebeispiele verwenden 
RDF-Daten aus einem Seman- 
tic Media Wiki (SMW). Die- 
ser Artikel lässt sich damit als 
Fortsetzung des Artikels aus 
der November-iX 2007 zu 
ebendiesem Thema lesen (sie- 
he [1]). Wer RDF-Daten ganz 
anderer Natur besitzt, etwa 
die Daten des firmeninternen 
Wissensspeichers, braucht die- 
se Motivation nicht. Um eine 
gute Nachvollziehbarkeit des 
folgenden Textes für alle Le- 
ser zu gewährleisten, braucht 
es noch ein geeignetes Öffent- 


liches Semantic Media Wiki. 
Wikipedia ist zwar zweifellos 
die größte Media-Wiki-Site, 
läuft aber „nur“ auf der ur- 
sprünglichen Software. Im 
Gegensatz dazu liegt Onto- 
world.org die um Semantic- 
Web-Funktionen aufgepepp- 
ten Wiki-Software zugrunde. 
Eine Einführung in die Funk- 
tionen ist in der oben genann- 
ten iX zu finden. Ein RDF- 
Export der in der Ontoworld 
erfassten Metadaten steht unter 
ontoworld.org/RDF/ zur Ver- 
fügung. Der aktuelle Umfang 
liegt bei knapp 4,2 MByte — 


genug Masse, um mit SPARQL 
zu spielen. 

Neben Daten und einer An- 
fragesprache ist selbstverständ- 
lich Software für den Daten- 
speicher und die Query 
Engine erforderlich. Für bei- 
des gibt es Open-Source-Al- 
ternativen, wie der Kasten 
„Onlinequellen“ zeigt. Einen 
Crashkurs für die hier verwen- 
dete Software — Jena, ARQ 
und Joseki — enthält der Kas- 
ten „Mit SPARQL arbeiten“. 

Derzeit liegen drei Spezifi- 
kationen des W3C im Status 
„Proposed Recommendation“ 
vor (= nur noch einen Schritt 
von der Verabschiedung ent- 
fernt). Es handelt sich zu- 
nächst um die Query-Sprache 
selbst. Dazu gesellt sich mit 
„SPARQL Protocol for RDF“ 
eine Beschreibung, wie Que- 
ries und deren Antworten 
über HTTP und SOAP über- 
mittelt werden können. Der 
dritte Text trägt den Namen 
„SPARQL Query Results 
XML Format“ und beschreibt 
den Aufbau von Query-Ant- 
worten in XML. Außer der 
Beschreibung steht ein Relax- 
NG- und ein daraus erzeugtes 
XML-Schema zur Verfügung. 


Kein SPARQL 
ohne RDF 


Vor dem Einstieg in die An- 
fragesprache müssen wenigs- 
tens grundlegende Kenntnisse 
über RDF vorhanden sein. 
Das lässt sich schnell erledi- 
gen: RDF-Ausdrücke haben 
den Aufbau „Subjekt Prädikat 
Objekt“, es handelt sich daher 
um Tripel. Das Subjekt macht 
durch das Prädikat eine Aus- 
sage über das Objekt. Idealer- 


Consortium ([W3C). 


Implementierungen. 


A-TRACT 


© SPARQL ist eine Query-Sprache für RDF-Daten und 
entspringt der Semantic-Web-Arbeit des World Wide Web 


e Ähnlich SQL für relationale Datenbanken soll SPARQL 
zur Standard-Anfragesprache des Semantic Web werden. 


© Es existieren mehrere leistungsfähige Open-Source- 
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weise sind alle drei Dinge ein- 
deutig über einen URI zu 
identifizieren. Der einführen- 
de Text des W3C (RDF Pri- 
mer, [a]) nennt folgendes Tri- 
pel in englischer Sprache: 
http:!Iwww.example.orglindex. 
html has a creator whose va- 
lue is John Smith. In RDF 
lässt sich das wie folgt aus- 
drücken: 

* Subjekt: 

http: //www.example.org/index.himl 
* Prädikat: http://purl.org/dc/ 
elements/1.1/creator 


* Objekt: http: //www.example.org/ 
staffid/85740 


Die nicht-formale Notation ist 
insofern korrekt, als RDF kei- 
ne bestimmte Syntax verlangt. 
Eine weitverbreitete Syntax 
benutzt XML; die Aufzählung 
könnte man deshalb ebenso 
gut in XML und viele weitere 
Notationen übersetzen. 

Subjekt und Prädikat sind 
in diesem Beispiel mit einem 
willkürlich gewählten, aber 
als eindeutig angenommenen 
URI mit der Angabe exam 
ple.org bezeichnet. Der dritte 
URI legt den Verdacht nahe, 
dass John Smith ein Mitarbei- 
ter einer fiktiven Organisation 
namens example.org ist. For- 
mal abgesichert ist diese Aus- 
sage nicht; das ist auch nicht 
notwendig. Im Gegensatz da- 
zu ist das Prädikat durch den 
Dublin Core definiert, und der 
URL ist bei purl.org registriert. 

Wie oben erwähnt, handelt 
es sich bei RDF-Strukturen 
um gerichtete, mit einem La- 
bel versehene Graphen. Man 
erhält diese Repräsentation, 
wenn man Subjekt und Objekt 
als Knoten betrachtet, zwi- 
schen denen eine vom Subjekt 
ausgehende, gerichtete Kante, 
die das Label des Prädikats 
trägt, verläuft. Eine bildliche 
Darstellung zeigt die dem 
RDF Primer entnommene Ab- 
bildung 1. 

Es versteht sich von selbst, 
dass die Strukturen durchaus 
komplexere Formen anneh- 
men können. Dabei ist es bei- 
spielsweise möglich, mehrere 
Aussagen über ein Subjekt zu 
machen. Der RDF Primer 
fährt im oben genannten Kon- 
text fort: 
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http: //www.example.org/index.html 
has a creation-date whose value is 
August 16, 1999 
http://www.example.org/index.html 
has a language non value is 


English 


Die grafische Darstellung än- 
dert sich dementsprechend, 
wie Abbildung 2 zeigt. 


Aller Anfang 


ist einfach 


Schon auf dieser kleinen Da- 
tenbasis lassen sich SPARQL- 
Queries formulieren. Eine 
grundlegende Anfrage ist die 
per SELECT-WHERE. Dafür 
gewinnt SPARQL sicher kei- 
nen Preis in Originalität, der 
Einstieg ist durch diese durch- 
aus vertraute Klausel aber ein- 
fach. Die Query in Listing 1 
ermittelt den Urheber der 
Ressource http://www.exam 
ple.orglindex.html. 

Es ist unschwer zu erraten, 
dass es sich bei ?urheber um 
eine Variable handelt. Die 
Query instanziiert die Variable 
mit allen Knoten, die über die 
Relation hrip://purl.org/dc/ele- 
ments/1.l/creator mit dem 
genannten Subjekt verbunden 
sind. Im Beispielcode der 
obigen Daten ist die Treffer- 
menge einelementig: hrip.:// 
www.example.org/staffid/857 
40. In der XML-Notation für 
SPARQL-Ergebnisse sieht das 
aus wie der untere Teil von 


Listing 1: Simple Anfrage/Ergebnis 


PREFIX de: <http://purl.org/de/elements/1.1/> 
SELECT ?urheber 
WHERE 
{ 
<http://uuw.exanple.org/index.html> 
: <http://purl.org/de/elements/1.1/creator> ?urheber . 


xml version="1.0"P 
ssparql xmlns="http://unw.w3.0rg/2005/spargl-results#" 
xnlnsixsi="http://muw.w3.org/2001/XNLSchema-instance" 
xsi:schenaLocation="http://unw.n3.org/2007/SPARQL/result.xsd"> 
<head> 
«variable nane="urheber"/> 
<Ihead> 
<results> 
<result> 
<binding nane="urheber"> 
suri>http://uun.example.org/staffid/85740</uri> 
<Ibinding> 
<Iresult> 
<Iresults> 
<Ispargl> 


Listing 2: Komplexere Anfrage/Ergebnis 


PREFIX smuCat: <http://ontoworld.org/wiki/SpecialzURIResolver/Category-3A> 
PREFIX smuProp: <http://ontoworld.org/wiki/SpecialzURIResolver/Property-3A> 
PREFIX rdf: <http://uuw.u3.0rg/1999/02/22-raf-syntax-ns#> 
SELECT ?city ?country ?population ?geoLocation 
WHERE { 

?eity rdfstype smulat:City. 

?eity smwProp:Located_in ?country. 

?eity smuProp:Population ?population. 

?eity smuPropsCoordinates ?geolocation, 


ssparql 
xnlnsirdf="http://uuw.u3.0rg/1999/02/22-raf-syntax-nst#" 
xnlnsixs="http://unw.w3.org/2001/XMLSchena#" 
xnLns="http://uun.w3.0rg/2005/spargl-results#" > 
<head> 
<variable name="city"/> 
<variable name="country"/> 
<variable name="population"/> 
<variable nane="geoLocation"/> 
</head> 
<results> 
<result> 
<binding nane="city"> 
suri>http://ontoworld.org/wiki/SpecialzURIResolver/Berlin</uri> 
</binding> 
<binding nane="country"> 
suri>http://ontonorld.org/wiki/Special:URIResolver/Germanys/uri> 
</binding> 
<binding nane="population"> 
sliteral datatype="http://uuw.w3.org/2001/XMLSchema#double">3391407</Literal> 
</binding> 
<binding nane="geoLocation"> 
sliteral datatype="http://unw.w3.org/2001/XMLSchemafstring">52°31'09N, 13°24'0?Es/Literal> 
</binding> 
</result> 


<Iresults> 
</sparal>> 


hitp://www.example.org/index.html 


http://purl.org/dc/elements/1.1/creator 


Die Darstellung eines 
RDF-Ausdrucks als Graph 
(Abb. 1) 


http:/ /www.example.org/staffid/85740 


http: //www.example.org/terms/creation-date 


Wachsende Komplexität 
der Struktur: mehrere Aussagen über 
ein Subjekt (Abb. 2) 


http: //www.example.org/index.html 


http://purl.org/dc/elements/1.1/creator 


hitp:/ /www.example.org/staffid/85740 


http://purl.org/de/elements/1.1/language 


Quelle beider Abbildungen: 
World Wide Web Consortium, W3C 
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Semantic Web 


SELECT ?subject ?ingoingPredicate ?outgoingPredicate ?object 

WHERE { 

{ 
?subject ?ingoingPredicate 
<http://ontoworld.org/wiki/special:URIResolver/Berlin>, 

3 UNION { 
<http://ontoworld.org/wiki/special:URIResolver/Berlin> 
?outgoingPredicate object. 

} 

} 


ssparql xmlns="http://unn.w3.0rg/2005/spargl-results#"> 
<head> 
</head> 
<boolean>true</boolean> 

</spargl> 


Listing 4: ASK 


PREFIX smuCat: <http://ontoworld.org/wiki/SpecialzURIResolver/Category-3A> 
PREFIX smuProp: <http://ontoworld.org/wiki/SpecialzURIResolver/Property-3A> 
PREFIX rdf: <http://uuw.u3.0rg/1999/02/22-rdf-syntax-ns#> 
ASK { 

?eity rdfitype smulatztity. 

?eity smwProp:Population ?population. 

FILTER ( ?population > 1000000 ) 
} 


Listing 5: CONSTRUCT 


PREFIX smuCat: <http://ontoworld.org/wiki/SpecialzURIResolver/Category-3A> 
PREFIX smuProp: <http://ontoworld.org/wiki/Special:URIResolver/Property-3A> 
PREFIX rdf: <http://unw.u3.0rg/1999/02/22-rdf-syntax-ns#> 
PREFIX ex: <http://exanple.org/meineontologie/> 
CONSTRUCT { 

?eity rdfitype ex:Stadt. 

?eity ex:istTeilVon ?country. 

?eity ex:hatEinnohnerZahl population. 


} 
WHERE { 
?eity rdfitype smulatzCity. 
?city smwProp:Located_in ?country. 
?eity smwProp:Population ?population. 
} 


Listing 6: DESCRIBE 


PREFIX smuCat: <http://ontoworld.org/wiki/SpecialzURIResolver/Category-3A> 
PREFIX rdf: <http://unw.u3.0rg/1999/02/22-rdf-syntax-ns#> 
DESCRIBE ?x 
WHERE { 
?x rdfztype smwlat:lity. 
} 


Listing 7: Joseki-Konfiguration 
oprefix swivt:  <http://semantic-mediawiki.org/swivt/1.0#> . 


oprefix wiki: <http://ontoworld.org/wiki/SpecialzURIResolver/> . 
oprefix obonl:  <http://unw.xspan.org/obo.owl#> . 
oprefix rdfs:  <http://unn.w3.org/2000/01/rdf-schenaf> . 
oprefix rdf: <http://muw.w3.0rg/1999/02/22-rdf-syntax-ns#> . 
oprefix foafı  <http://xmins.com/foat/0.1/> . 
oprefin : <http://muw.xspan.org/obo.owl#> . 
oprefix onl: <http://mun.w3.0rg/2002/07/onl#> . 
wiki:Halle_-28Saale-29 
a swivt:Subject , smulat:lity ; 
rdfs:isdefinedBy 
<http://ontoworld.org/wiki/special:ExportRdF/Halle_(Saale)> ; 
rdfs:label "Halle (Saale)" ; 
wikisProperty-3AAdjacent_to 
wikisSaale ; 
wikisProperty-3AArea-23m-(2-B2 
"135000000" ""<http://uuw.w3.org/2001/XMLSchemafdouble> ; 
wikisProperty-3Alocated_in 
wiki:Germany , wiki:Saxony-2DAnhalt ; 
wikisProperty-3APopulation 
"240000"""<http://uuw.w3.org/2001/XMLSchema#double> ; 
swivtspage <http://ontoworld.org/wiki/Halle_(Saale)> . 


oprefix smuCat: <http://ontoworld.org/wiki/special:URIResolver/Category-3A . 
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Listing 1. Offenkundig lassen 
sich auf diese Weise leicht 
komplexere Queries bilden, 
siehe Listing 2 oben. 

Diese Anfrage zeigt, dass 
SPARQL Präfixe für häufig 
genutzte URIs definieren 
kann, was für eine deutlich 
bessere Lesbarkeit sorgt. Das 
Ergebnis der Anfrage ist auf 
Basis der Ontoworld-Daten 
die Menge aller dort erfassten 
Städte (rdf:type smwCat:Ci- 
ty), des Landes (smwProp:Lo- 
cated_in ?country), in dem 
die jeweilige Stadt liegt, der 
Bevölkerungszahl (?popula- 
tion) und der Geokoordinaten 
(?geoLocation) — siehe Lis- 
ting 2 unten. 

Außer URIs kommen in 
der Antwort Literale vor. 
RDF erlaubt literale Knoten 
in einem Graphen, die — wie 
in diesem Beispielcode — mit 
einem Datentyp versehen 
sein können. 

UNION fasst mehrere Que- 
ries in einer Anfrage zusam- 
men, beispielsweise wie in 
Listing 3. Hierauf liefert eine 
SPARQL-Engine alle im Da- 
tenbestand enthaltenen RDF- 
Tripel, in denen http://onto 
world.org/wiki/Special:URI- 
Resolver/Berlin entweder als 
Subjekt oder als Prädikat vor- 
kommt. 


Prüfung auf Pattern 


Um zu prüfen, ob bestimmte 
Daten vorhanden sind, ist das 
ASK-Statement vorgesehen. Im 
Gegensatz zu SELECT prüfen 
ASK-Anfragen lediglich, ob 
das angegebene Graphen-Pat- 
tern vorhanden ist, und sie 
liefern einen entsprechenden 
Boolschen Wert zurück (siehe 
Listing 4). 

Die Frage lautet in diesem 
Fall: Gibt es im Datenbe- 
stand eine Instanz vom Typ 
City mit einer Einwohnerzahl 
von mindestens einer Mil- 
lion? Die Antwort findet sich 
in der unteren Hälfte von Lis- 
ting 4. Eine Filterfunktion 
wie in der ASK-Anfrage er- 
laubt die Einschränkung der 
Ergebnismenge. Abgesehen 
von solchen logischen Verglei- 


chen stellt FILTER weitere 
Optionen zur Verfügung, bei- 
spielsweise die Verwendung 
regulärer Ausdrücke. Weite- 
re Informationen dazu finden 
sich in der W3C-Empfehlung. 
Neben diesen reinen An- 
fragetechniken erlaubt es 
SPARQL, RDF-Graphen zu- 
rückzugeben beziehungsweise 
beliebige neue zu konstruie- 
ren. Es ist keine Überra- 
schung, dass zu Letzterem 
CONSTRUCT dient. Listing 5 
konstruiert aus den Informa- 
tionen aller Städte einen neu- 
en RDF-Graphen. Dieser wird 
allerdings mit einem anderen 
Vokabular umgesetzt, in die- 
sem Sinne mit der (fiktiven) 
Ontologie hinter http://exam 
ple.org/meineOntologiel. 


Beschreibung 
über Ressourcen 


Wenn nicht die Notwendig- 
keit besteht, die erfragten Da- 
ten in ein neues Vokabular zu 
überführen, kann man mit 
DESCRIBE arbeiten. So gibt 


DESCRIBE <http://ontoworld.org/ 
wiki/Special:URlResolver/Berlin> 


einen Graphen mit allen Daten 
des Wikis über Berlin zurück. 
Es lassen sich mit DESCRIBE 
aber auch komplexere Anfra- 
gen formulieren (siehe Lis- 
ting 6). Die Empfehlung des 
W3C gibt nicht vor, in wel- 
chem Format die Antwort ge- 
liefert wird. Im Gegensatz zu 
anderen SPARQL-Queries, 
bei denen der Client den Auf- 
bau des RDF kennen muss, 
um eine vernünftige Anfrage 
zu formulieren, dient DES- 
CRIBE dazu, eine Beschrei- 
bung über eine Ressource im 
RDF-Vokabular der Daten- 
quelle zu bekommen. Über- 
setzt heißt es so viel wie „Be- 
schreib mal die Ressource X 
mit deinen Worten“. DES- 
CRIBE kann damit ein guter 
erster Schritt zur Wissensent- 
deckung in beliebigen RDF- 
Quellen sein. Stellt man die 
obige Anfrage mit Joseki [f], 
bekommt man die Antwort 
im N3-Format (siehe Lis- 
ting 7). Einer WHERE-Klausel 
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können die Ausdrücke OR- 
DER BY, LIMIT, und OFF- 
SET folgen. Sie dienen dazu, 
die Ergebnismenge zu sortie- 
ren (ORDER BY), ihren Um- 
fang zu begrenzen (LIMIT) 
und anzugeben, bei welcher 
Position der Ergebnismenge 
die Ausgabe beginnen soll 
(OFFSET). Damit lässt sich 
ein Blättern in der Ergebnis- 
menge realisieren, in dem der 
OFFSET zunächst bei 1 be- 
ginnt und beispielsweise ein 
LIMIT von 10 verwendet. Bei 
der nächsten Query setzt man 
den OFFSET auf 11 und er- 
hält die Treffer 11 bis 20 und 
so weiter. 


Fazit 


Schon diese ersten Codebei- 
spiele zeigen: SPARQL ist 
eine leistungsfähige und re- 
lativ einfach zu erlernende 
Anfragesprache für RDF- 
Graphen. Für die Entwick- 


lung von Semantic-Web-An- 
wendungen ist sie eine un- 
verzichtbare Komponente. 
Erfreulicherweise liegen mitt- 
lerweile relativ ausgereifte 
Implementierungen, auch als 
Open Source, vor. (hb) 


STEFAN MINTERT UND 
BASTIAN SPANNEBERG 


sind Informatiker und ent- 
wickeln Semantic-Web-2.0- 
Software bei Linkwerk.com. 
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Semantic Web 


Die Codebeispiele des Artikels 
verwenden die exportierten 
RDF-Daten aus dem Onto- 
world-Wiki. Wer auf dem eige- 
nen Rechner mit SPARQL ex- 
perimentieren möchte, kann 
beispielsweise das Jena Seman- 
tic Web Framework einsetzen 
[1] und die Daten dort spei- 
chern. Jena ist ein Open- 
Source-Java-Framework von 
Hewlett-Packard zur Entwick- 
lung von Semantic-Web-An- 
wendungen. Die folgende Be- 
schreibung soll helfen, die 
ersten Schritte mit Jena ohne 
Stolpern zu meistern — siehe 
außerdem den iX-Artikel [2]. 


Abgesehen von Jenas mächtiger 
API, die hier kein Thema ist, 
lässt sich die Software als Kom- 
mandozeilen-Werkzeug benut- 
zen, um eine ganze Reihe von 
Datenbanken (MySQL, Postgre- 


Mit SPARQL arbeiten 


SQL, Oracle, Derby, ...) als 
Persistenzschicht für RDF-Da- 
ten zu verwenden. Die weiteren 
Ausführungen gehen davon aus, 
dass eine lauffähige MySQL-In- 
stallation vorhanden ist. 


Standard-DB-Schema 
noch zu bevorzugen 


Über das derzeit bei Jena enthal- 
tene Datenbank-Schema hinaus 
arbeiten die Entwickler gerade 
an SDB (jena.sourceforge.net/ 
SDB), einer neuen Triple-Store- 
API inklusive einem neuen 
Datenbank-Schema, das ins- 
besondere für komplexere 
SPARQL-Anfragen optimiert 
ist. SDB befindet sich noch in 
einem frühen Entwicklungssta- 
dium. Deshalb ist im Moment 
das Standardschema zu empfeh- 


Listing 8: joseki-config.ttl 


## This file is written in N3 / Turtle 
aprefix rdfs: 
oprefix rdf:  <http: 
aprefix xsdi  <http: 
aprefix module: <http: 
aprefix josekiz <http: 
oprefix ja: 
## About this configuration 


Ijoseki.org 


## About this server 
[] radfztype joseki:server ; 
josekizinitialization 
[ nodule:inplenentation 


2 


[1 radfztype 
rdfs: label 
josekizserviceRef 
joseki:dataset 
josekisprocessor 


joseki:Service ; 


"hooks" ; 


HH Datasets 


_ixModel rdfztype ja:RdBlodel ; 
rdfs:label "iX SPARAL" ; 
ja:connection 
l 


’ 
jasnodelNane "ix" 


HH Processors 
joseki:ProcessorSPARQL_FixeddS 


rdfztype joseki:Processor ; 


josekisallowExplicitDataset 
josekizallowNebLoading 
josekizlockingPolicy 


josekisInplsPARAL 
rdfstype joseki:Servicelnpl ; 
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> rdfs:label "Joseki Configuration File" . 


x rdfitype ja:RDFDataset ; 
ja:defaultsraph _:ixModel ; 
rdfs: label "DBNS iX Dataset" ; 
H Nodels 


module:inplementation josekizImplSPARAL ; 
# This processor does not accept queries with FROM/FROM NAMED 
"false"""xsd:boolean ; 

L 

L 


<http://uuw.w3.0rg/2000/01/rdf-schenaf> . 

Iuun .w3.0rg/1999/02/22-rdf-syntax-ns#> . 
Iuun.w3.org/2001/XMLSchemat> . 
/2003/06/module#> . 

I joseki.org/2005/06/configurationf> . 
<http://jena.hpl.hp.com/2005/11/Assenbler#> . 


[U module:className <javasorg.joseki.util.ServicelnitSinple> ; 
rdfs:label "Example initializer" ; ] 


HH Service 1 - SPARAL processor for the ontoworld dataset 


"SPARQL service for the ontoworld model" ; 


N; 
josekizProcessorSPARQL_Fixedd$ ; 


"jdbesmysql://localhost:3306/jena" ; 


ja:dbType "Nysal" ; 

ja:dbURL 

ja:dbUser "dbUser" ; 

ja:dbPassword "dbPassword" ; 
ja:dbllass "con.mysql.jdbe.Driver" ; 


rdfs:label "SPARQL processor for fixed datasets" ; 


"false"""xsd:boolean ; 
josekislockingpolicyMRSW ; 


module:classNane <javazorg. joseki.processors.SPARAL> . 


len. Joseki allerdings kann 
schon jetzt mit SDB-Datenbe- 
ständen arbeiten. 


Der erste praktische Schritt be- 
steht in der Erzeugung einer 
passenden Datenbank. Nach 
dem Anlegen einer leeren Da- 
tenbank in MySQL initialisiert 
der folgende Aufruf im Jena- 
Verzeichnis die Datenbank mit 
den richtigen Einstellungen. 
Die Aufrufsyntax geht von ei- 
nem Windows-System aus. 
Unter Unix ist die Syntax für 
den Classpath geeignet zu 
wählen (-cp .:lib/*). 


java -cp .;lib\* jena.dbcreate \ 

-db jdbe:mysal://localhost/jena \ 
-dbType MySQL -dbUser dbUser \ 
-dbPassword dbPassword -model ix 


Über den Parameter model lässt 
sich der Name der zu erzeugen- 
den Datenbank, im Jena-Jargon 
„Model“ genannt, angeben. 
Anschließend lädt die nächste 
Anweisung die benötigten 
RDF-Daten in dieses Modell: 


java -cp .;lib\* jena.dbload \ 

-db jdbe:mysal://localhost/jena \ 
-dbType MySQL -dbUser root \ 
-dbPassword mysalroot \ 

-model ix c:\spargl\ontoworld.xml 


Jena kann nun SPARQL-An- 
fragen auf dem Datenbestand 
ausführen. Dazu stehen zwei 
Wege offen: Die zu Jena gehö- 
rende SPARQL-Engine ARQ 
[e] kann ein selbst geschrie- 
benes Java-Programm anspre- 
chen, oder man nutzt Joseki [f], 
eine weitere, separat entwickel- 
te Komponente aus dem Jena- 
Universum. 


Joseki ist ein SPARQL-Query- 
Server und läuft als Webser- 
vice in einem integrierten Jet- 
ty. Bei Bedarf lässt sich Joseki 
außerdem als Webanwendung 
in anderen Servlet-Containern 
benutzen. Der Service kann so- 
wohl mit RDF-Daten in Dateien 
als auch in Datenbanken um- 
gehen. Er implementiert das 
SPARQL-Protokoll und liefert 
Ergebnisse gemäß der SPARQL 
Query Results Proposed Re- 
commendation. Beim Entpa- 
cken von Joseki ist darauf zu 
achten, dass im Pfad keine Leer- 
zeichen enthalten sind, da der 
Server anderenfalls nicht ord- 
nungsgemäß startet. 


Josekis Konfiguration erfolgt 
ebenfalls in RDF. Da die Konfi- 
gurationsdatei joseki-config.ttl 


für nicht RDF-affine Nutzer et- 
was verwirrend sein kann, hier 
ein kurzer Abriss der für die 
vorliegenden Codebeispiele we- 
sentlichen Konfiguration (siehe 
Listing 8). 


Einrichten von 
Diensten mit Joseki 


Unter Joseki kann man mehrere 
sogenannte Services einrichten. 
Die wesentlichen Angaben für 
den jeweiligen Service finden 
sich in den Prädikaten service- 
Ref, dataset und processor. Die 
Angabe in serviceRef dient da- 
zu, ankommende Requests auf 
die passenden Datenbestände 
abzubilden. 


Beim Anlegen von eigenen Ser- 
vices ist daher ein entsprechen- 
der Eintrag in Josekis web. xml 
zu tätigen. Um den Einstieg zu 
erleichtern, bleibt das Listing 
beim Namen books aus der De- 
fault-Konfiguration. Das ermög- 
licht die Nutzung des mitgelie- 
ferten Query-Formulars, in dem 
dieser Name fest eingebrannt ist. 
Das Prädikat dataset verweist 
auf eine weiter unten folgende 
Definition. Dort gibt es eine Re- 
ferenz auf den zu diesem Data- 
set gehörenden Datenbestand. 
Die Angabe unter processor ver- 
weist schließlich auf die Im- 
plementierung des SPARQL- 
Query-Prozessors. Es ist konfi- 
gurierbar, ob der abzufragende 
Graph in einer Query angegeben 
werden kann, oder ob, wie im 
vorliegenden Fall, Abfragen nur 
gegen einen vorgegebenen Da- 
tenbestand möglich sind. Sind 
alle diese Angaben korrekt ge- 
macht, lässt sich der Server von 
der Kommandozeile starten: 


set JOSEKIROOT=C:\Joseki-3. 
bin\joseki_path 
bin\rdfserver 


Der letzte Aufruf muss im Jose- 
ki-Verzeichnis stattfinden, da 
das Tool sonst die Konfigura- 
tiondatei joseki-config.ttl nicht 
finden kann. Jetzt steht das inte- 
grierte Query-Formular unter 
http :/!localhost:2020/query.html 
zum Testen von Queries zur 
Verfügung. Die Nutzung des 
Formulars bietet den Vorteil, 
dass auf das zurückgegebene 
XML gleich ein XSLT-Style- 
sheet angewandt werden kann, 
das die Antwort in einer 
HTML-Seite darstellt. x 
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Softwareentwickung 


Continuations als Sprachmittel 


Fortsetzungs- 
geschichte 


Frank Müller 


Die Entwicklung moderner Webapplikationen 
stellt den Programmierer vor diverse 
Herausforderungen. Eine davon ist die 
Überwindung der Zustandslosigkeit des HTTP. 
Ein aktuell stark diskutierter Lösungsansatz 
hierfür ist die Verwendung eines Framework 
auf Basis von Continuations. 


ontinuations sind einer 
C der derzeit vieldisku- 
tierten Ansätze, um die 
Zustandslosigkeit von HTTP 
in der Programmierung zu um- 
schiffen. Dass dieses Sprach- 
mittel aus einer Zeit weit vor 
dem Web stammt, ist vielen 
Beteiligten unbekannt. Dabei 
könnte die Kenntnis der Ge- 
schichte dieses Ansatzes den 
Blick für dessen Stärken und 
Schwächen schärfen. 
Eingeführt wurde der Be- 
griff Continuation bereits in 
den 60er-Jahren von Christop- 
her Strachey, Christoper P. 
Wadsworth und John Rey- 
nolds. Das erste Web-Frame- 
work, das Continuations für 
den Kontrollfluss nutzte, war 
Seaside. Diese in Smalltalk 
entwickelte Bibliothek [1] 
verzichtet auf ein aufwendi- 
ges, in XML oder in anderer 
Form definiertes Mapping 
von URLs zu Komponenten. 
Stattdessen erzeugen Seaside- 
Komponenten ihre individuel- 
le Ausgabe programmatisch 
durch die Methode render- 
ContentOn:. Sie erhält als Ar- 
gument ein HTML-Render- 
Objekt, das über Methoden 
zur Erzeugung der HTML- 
Ausgabe verfügt. Die Metho- 
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den für die Erzeugung von 
Links erhalten als Callback 
unter anderem einen Block, 
auch als Closure bekannt, für 
den nach einer Auswahl aus- 
zuführenden Code. 

Zur Darstellung dieses 
Links generiert Seaside eine 
individuelle ID, die gemeinsam 
mit der Session-ID Teil der 
URL ist. Gleichzeitig wird der 
übergebene Callback-Block in 
einem Dictionary gesichert 
und steht dadurch bei einer 
erneuten Auswahl des Links 
wieder zur Verfügung. So kann 
der Programmfluss in einfachs- 
ter Form fortgesetzt werden, 
sowohl in der aktuellen Kom- 
ponente als auch beim Start 
einer neuen. 

Blöcke lassen sich zwar 
wunderbar für eine spätere 
Ausführung speichern. Doch 
die erfolgt immer in einem 
Kontext, der sowohl alle lo- 
kalen Variablen im Sichtbe- 
reich des Blocks als auch die 
Aufrufkette, die zur Aktivie- 
rung der Methode führte, um- 
fasst. Mit dem Verlassen der 
Methode, in der der Block de- 
finiert ist, verändert sich des- 
sen Kontext. Das Ergebnis ei- 
ner späteren Blockausführung 
auf Basis einer Benutzerin- 


teraktion ist dann kaum vor- 
hersehbar. 

An eben dieser Stelle set- 
zen Continuations an. Wie der 
Name bereits andeutet, handelt 
es sich um eine Technik zur 
Fortsetzung eines Programms 
an einer definierten Position. 
Dabei geht es nicht nur um 
einen einfachen Sprungbefehl, 
sondern um ein Konstrukt zur 
Sicherung des aktuellen Kon- 
texts, zu dessen Übermittlung 
für eine Weiterverarbeitung 
an einen Block und zur Ter- 
minierung des aktuellen Kon- 
texts mit dem Zweck, das 
Programm mit dem gesicher- 
ten Exemplar fortzusetzen. 
So ist das nutzende Pro- 
gramm in der Lage, beliebige 
Punkte in seiner Ausführung 
als Schnappschuss zu sichern 
und mittels einer virtuellen 
Zeitreise an diese Stellen zu- 
rückzuspringen. 


Mehr als 
ein Sprung 


Die Nutzung von Continua- 
tions ist aus programmtechni- 
scher Sicht einfach. Die für die 
Erzeugung notwendige Metho- 
de erwartet wie bereits er- 


wähnt einen Block mit einem 
einzigen Argument. Das ent- 
hält die aktuelle Continuation 
und lässt sich dann beispiels- 
weise für die weitere Nutzung 
speichern. Im Block sind wei- 
tere Programmschritte möglich 
und das Ergebnis wird an den 
Aufrufer übergeben. 


ü 
Transcript clear. 
continuation := nil. 
tmp := Continuation currentDo: 
[:cc | continuation := cc. false]. 
tmp ifFalse: [ 
Transcript show: 

‚A=> ,,tmp asString; cr. 
continuation value: true. 
Transcript show: 

‚B=>,,tmp asString; cr]. 

Transcript show: 
‚C => ,,tmp asS$tring; cr. 


1 


Die Ausgabe dieses Beispiels 
verdeutlicht mit 


tt 
A => false 
C => true 


1) 


den Ablauf. Der Aufruf von 
Continuation currentDo: spei- 
chert den aktuellen Kontext in 
der Variable continuation und 
gibt false an tmp zurück. Das 
steuert den weiteren Ablauf, 
also die erste Ausgabe (A) und 
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Softwareentwickung 


den Aufruf der Continuation 
mit dem Wert true. Diese so 
ausgelöste Fortsetzung am Ort 
der Definition sorgt dafür, dass 
anschließend erstens die zwei- 
te Ausgabe (B) nicht mehr 
ausgeführt wird und zweitens 
imp den Wert true erhält. Da- 
mit führt das Programm den 
Block nicht erneut aus und er- 
reicht die dritte Ausgabe (C). 
Ohne die if-Abfrage würde 
dieses Beispiel mit seinen ste- 
tigen Rücksprüngen in einer 
Endlosschleife enden. 

So einfach dieses abstrakte 
Beispiel ist, macht es doch 
bereits deutlich, mit welcher 
Vorsicht diese Fähigkeit zu 
nutzen ist. In gewissem Sinne 
ähneln Continuations einer 
funktionalen Form des Gotos, 
das nicht umsonst seit Edsger 
Dijkstras Aussage im Jahre 
1968 als schädlich gilt [2]. Der 
Entwickler erhält die Möglich- 
keit, den Programmfluss ab- 
seits der regulären Anwei- 
sungsfolge zu verändern. Der 
entstehende Code ist schwerer 
zu debuggen und für neue 
Entwickler schlecht durch- 
schaubar — beides keine uner- 
heblichen Faktoren. Hilfsmit- 
tel zur Code-Inspektion, wie 
die Verfolgung von Aufrufern 
oder Implementierern von Me- 
thoden, greifen bei Continua- 
tions nicht. Dieser Zwiespalt 
zeigt sich auch im sparsamen 
Gebrauch dieses Features in 
den Bibliotheken. So basiert 
in Smalltalk bisher nur Sea- 
side als bekanntes Framework 
auf diesem Verfahren. 


Ohne Return: 
Scheme 


Eine weitere Sprache, die nicht 
nur für ihre Continuations be- 
kannt ist, sondern auch gerne 
für die Vermittlung dieses 
Konstrukts herangezogen wird, 
ist Scheme. So kennt diese 
funktionale Sprache kein Re- 
turn-Statement, was die Ent- 
wicklung von Funktionen wie 
„Finde das erste passende Ele- 
ment in einer Liste.“ erschwert 
oder zumindest ineffizient 
macht. Mittels der Funktion 
(call-with-current-continua- 
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tion) — oder seinem Alias 
(calll/ec) — lässt sich jedoch 
leicht ein Ausweg aus diesem 
Dilemma implementieren. Wie 
in Smalltalk hat diese Funktion 
ein Argument. Dieses ist ent- 
weder wiederum eine Funktion 
mit einem Argument, wie bei 
Smalltalk zur Übergabe der ak- 
tuellen Continuation, oder die 
Continuation selbst. Im ersten 
Fall wird die Funktion aufgeru- 
fen, im zweiten die Continua- 
tion fortgesetzt. Damit lässt 
sich die eben genannte Funk- 
tion leicht implementieren: 


ft 
(define (find fits? list) 
(call/cc 
(Iambda (return) 
(for-each 
(Iambda (element) 
(if (fits® element) 
(return element]}) 
list) 


NN) 
159) 


Der Aufruf der Continuation 
return mit dem gefundenen 
Element sorgt für eine Fortset- 
zung am Definitionspunkt, al- 
so außerhalb der Schleife und 
damit für die Rückgabe des 
Elements als Ergebnis. Passt 
hingegen kein Element der 
Liste, wird am Ende false zu- 
rückgegeben. Im Unterschied 
zum Smalltalk-Beispiel zeigt 
dieses Beispiel noch keinen 
Rücksprung an den Punkt der 
Continuation, sondern nur das 
Herausspringen aus der ak- 
tuellen Funktion. Sprünge in 
beide Richtungen erlauben 
weitere praktische Konstruk- 
te. So ist es hiermit möglich, 
Funktionen mit einem Zu- 
stand auszustatten. 


(define (make-counter start increment) 
;; Schleife fuer Inkrement 
(define (increase) 
(let loop [(counter start)) 
(call/cc (Iambda (cc) 
(set! increase 
(Iambda [) (cc ‚dummy)|) 
(caller counter)]) 
(loop (+ counter increment))}) 
;; Funktion fuer jeweils einmaligen 
; Aufruf des Inkrements 
(define (caller) 
(call/cc (Iambda (cc) 
(set! caller cc) 
(increase))}) 
caller] 


) 


Dieses Beispiel sorgt für die 
Erzeugung eines Zählers mit 
einem Startwert sowie einem 
Inkrement. Die beiden Unter- 
funktionen rufen sich gegen- 
seitig auf, definieren sich zur 
Realisierung eines Start-Stop- 
Verhaltens mit jedem Durch- 
lauf um und sorgen dafür, 
dass die Schleife in (increase) 
einmal pro Aufruf durchlau- 
fen wird. Damit erzeugt der 
Aufruf von (define counter- 
five (make-counter 0 5)) die 
Funktion (counter-five), die 
mit ihren Aufrufen die Zah- 
lenfolge 0, 5, 10, 15, 20 et 
cetera ausgibt. Die Erzeu- 
gung einer zweiten Funktion 
(define counter-two (make- 
counter 1 2)) liefert hingegen 
(counter-two) und damit die 
Zahlenfolge 1,3,5,7,9...... 
Auf diese Weise lassen sich 
beispielsweise IDs für Daten- 
bankeinträge generieren. 


Hin und her 


und zurück 


Ein weiteres Beispiel für den 
Einsatz von Continuations ist 
der Sprung zwischen zwei 
Funktionen, auch als Korou- 
tinen bekannt. Auf diese 
Weise lässt sich eine Form 
von paralleler Ausführung si- 
mulieren, ein kooperatives 
Multitasking. Hierfür werden 
zwei Funktionen mit je ei- 
nem Argument, das für die 
Übernahme der jeweils ande- 
ren Funktion zuständig ist, 
definiert. Im Rahmen der 
internen Verarbeitung oder 
Schleifen rufen sich die Funk- 
tionen gegenseitig regelmäßig 
mit (set! other-func (calllcc 
other-func)) auf. Dabei wird 
einerseits der aktuelle Stand 
gesichert und andererseits 
gleichzeitig der jeweils ande- 
ren Funktion für den Rückruf 
übergeben. Auf diese Weise 
lässt sich beispielsweise im 
Rahmen einer länger andau- 
ernden Berechnung oder 
Verarbeitung eine Informa- 
tion an den wartenden Be- 
nutzer ausgeben. Im folgen- 
den Beispiel ist es ein 
kreiselnder Strich in Klam- 
mern, angezeigt als Uhr-Er- 


satz hinter jeder dargestellten 
Nummer. 


(define (animated-loop num) 
(define (loop-func animator-func) 
(let loop [(counter 1)) 
(display counter) 
(set! animator-func 
(call/cc animator-func)] 

(if (< counter num] 

(loop (+ counter 1))})) 
(define (animator-func loop-func) 
(let loop |) 

(for-each (Iambda (animation) 
(display animation) 
(newline] 

(set! loop-func 
(call/cc loopunc])) 


AI EHEN) 
(loop) 


(loop-func animatorfunc]) 


10} 


Diese Vereinfachung fasst die 
beiden Funktionen für die 
Schleife und ihre Animation 
zusammen und kann mit (ani- 
mated-loop 10) die Werte 
von 1 bis 10 mit einer Uhr 
anzeigen. Alternativ kann es 
der Entwickler der langlau- 
fenden Funktion dem Nutzer 
freistellen, wie er seine Be- 
nutzerinformation gestalten 
möchte. 


Sprachen und 
Anwendungen 


Außer Smalltalk und Scheme 
verfügen weitere Sprachen 
über Continuations. Zu den 
bekannteren gehört beispiels- 
weise Ruby, das mit callcc 
{ lccl ... } über die gleiche 
Mächtigkeit verfügt. Dazu 
kommen noch Haskell, Factor, 
Parrot, ML, Rhino, Scala, Pico 
und auch C. Prinzipiell lässt 
sich ein als Continuation Pas- 
sing Style bekanntes Verfahren 
in jeder Sprache implemen- 
tieren, die über Funktions- 
objekte verfügt. In diesem Fall 
wird nicht das Ergebnis einer 
Funktion zurückgegeben und 
weiter verwendet, sondern der 
Funktion ein Funktionsobjekt 
übergeben, das nach erfolgter 
Berechnung das Ergebnis er- 
hält. Damit lassen sich viele 
der Vorteile vollwertiger Con- 
tinuations ebenfalls realisie- 
ren. Ein weiterer Weg besteht 
in Java-Bibliotheken zur Ma- 
nipulation des Bytecodes. 
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Die Einleitung mit Small- 
talk deutete bereits ein bevor- 
zugtes Anwendungsfeld für 
Continuations an. Es sind die 
Web-Frameworks, losgetre- 
ten durch den Erfolg von Sea- 
side [b]. Sicherlich ist die 
Basis der auf Seaside basie- 
renden Anwendungen im 
Verhältnis zum Mainstream 
mit Java und .Net gering, als 
Impulsgeber für neue Lö- 
sungsansätze hat es hingegen 
Bedeutung und Berühmtheit 
erlangt. Allerdings zeigt Sea- 
side auch einen Nachteil der 
Continuations in Szenarien 
wie Webanwendungen. Die 
Sicherung des jeweils aktuel- 
len Kontexts ist speicherin- 
tensiv und belastet ebenso 
wie die Restauration die VM. 
Skalierbare Applikationen er- 
fordern daher den Einsatz pa- 
ralleler Images sowie eines 
Load Balancings. 

Bei den Webbibliotheken 
steht Seaside inzwischen nicht 
mehr alleine da. So hat auch 
!PLT Scheme [c] Continua- 
tions in seine Scheme Web 
Servlets Library integriert, 
wenn auch nicht in der Kon- 
sequenz und mit dem Reich- 
tum an vorgefertigten Kom- 
ponenten wie Seaside. Ein 
weiteres Scheme Web Frame- 
work basierend auf den Ideen 
von Seaside ist der Modal 
Web Server für Chicken 
Scheme. Die Entwicklung die- 
ser Bibiothek ist jedoch eher 
experimentell und wird nicht 
weiter verfolgt. Für den großen 
Scheme-Bruder Common Lisp 
bietet das Framework UnCom- 
mon Web [d] die entsprechen- 
den Funktionen. 


Ruby auch 
ohne Rails 


Trotz des Erfolg von Ruby 
on Rails gibt es auch für die- 
se Sprache Projekte, die 
Web-Frameworks auf Basis 
von Continuations realisie- 
ren. Eines ist Borges [e], das 
sich stark an Seaside orien- 
tiert. Daneben existiert noch 
Wee, das allerdings einge- 
schlafen ist. Aktiver ist hin- 
gegen Perls Jifty [f]. In Py- 
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thon startete Subway einen 
Versuch, sich auf Basis von 
Continuations als Alternative 
durchzusetzen. Leider ist die- 
ses Projekt ebenfalls sanft 
entschlummert. 

Auch in der Java-Welt be- 
dient man sich wie oben be- 
reits angedeutet der Contin- 
uations für das Web. Das 
Framework der Wahl trägt 
den Namen RIFE [g] und 
stellt eine vollwertige Umge- 
bung sowohl mit Templates 
als auch mit Continuations 
und vielen weiteren Features 
zur Verfügung. Wettbewerber 
sind seitens Spring das Unter- 
projekt Web Flow [h] sowie 
Apache Cocoon [i] mittels 
Flow Script. 


Fazit 


Die Nutzung von Continua- 
tions ermöglicht die Ergän- 
zung von Sprachen um ein 
Mittel, das ihrem eigentlichen 
Paradigma nicht entspricht. 
So brechen sie sowohl aus der 
Objektorientierung als auch 
aus der funktionalen Program- 
mierung aus. Genau darin lie- 
gen Reiz und Risiko. Die 
aufgeführten Beispiele geben 
einen Einblick, wie Continu- 
ations helfen, kleinere Auf- 
gaben einfach zu lösen. Von 
der Wirkung ähnliche Ansät- 
ze ohne den Einsatz von 
Continuations wären aufwen- 
diger. Auf der anderen Seite 
sind diese jedoch für die 
meisten Entwickler einfacher 
nachzuvollziehen. Dies bedeu- 
tet, dass der reguläre Code in 
der Regel für Teams mit wech- 
selnder Besetzung — also im 
Alltag — wartbarer wird. Hie- 
rin mag auch einer der Grün- 
de liegen, warum diverse auf 
Continuations beruhende Pro- 
jekte wieder eingeschlafen 
sind. 

Dennoch kann sich im an- 
spruchsvollen Fall, wie in der 
Entwicklung der Web-Frame- 
works in Smalltalk, Scheme 
oder Python, der Einsatz loh- 
nen. Continuations erlauben 
hier nicht nur die Erweite- 
rung der Sprachmittel, son- 
dern auch die Überwindung 


von Schwächen des Lösungs- 
umfelds. Bei Webanwendun- 
gen ist dies die Zustandslo- 
sigkeit des Protokolls, die 
ohne Continuations durch ei- 
ne Menge gespeicherter Ses- 
sion-Variablen mehr oder min- 
der geschickt umgangen wird. 
Continuations hingegen er- 
möglichen es, echte Zustände 
zu sichern und zu restaurie- 
ren. Dies erlaubt einen natür- 
lichen Programmfluss ohne 
Bruch. 

Die Komplexität konzen- 
triert sich hier auf einen klei- 
nen Bereich im Framework, 
abgeschirmt vom Entwickler 
der Webanwendung und ge- 
pflegt durch den Spezialisten. 
Die Beispiele in Seaside zei- 
gen dies. Aus Gründen der 
Wartbarkeit sollte der Einsatz 
dennoch sparsam und wohl 
kommentiert sein. (JS) 
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Senior Consultant bei 

der BTC Business Tech- 
nology Consulting AG in 
Oldenburg. 


Literatur 


[1] Frank Müller; Smalltalk; 
Ufer gewinnen, 
Webanwendungen mit 
Squeak und Seaside; 

iX 5/07, S. 136 

[2] Edsger Dijkstra; 

Go To Statement 
Considered Harmful; 
Communications of the 
ACM 11; S. 147 


[a] david.tribble.com/text/ 
goto.html 


[b] www.seaside.st 

[ec] www.plt-scheme.org 

[d] common-lisp.net/project/ucw 
[e] borges.rubyforge.org 

[f} jifty.org 

[g] www.rifers.org 


[h] www.springframework.org/ 
webflow 


[i] cocoon.apache.org 


X 


141 


Webprogrammierung 


und sich gefragt, welchen Zweck 

sie eigentlich erfüllen: Kleine Bil- 
der mit verschwommenen, verzerrten 
Zeichen vor beliebigem Hintergrund, 
die der Besucher der Webseite in ein 
Textfeld schreiben soll. Es sind soge- 
nannte Captchas — „Completely Auto- 
mated Public Turing test to tell Com- 
puters and Humans Apart“, also ein 
automatischer, öffentlicher Test zur 
Unterscheidung zwischen Mensch und 
Machine. 

Das Prinzip klingt einfach und wirk- 
sam. Schließlich ist es für jeden Men- 
schen ein Leichtes, den verzerrten Text 
aus dem Bild einzutippen, wohingegen 
der Computer diese Fähigkeit nicht 
besitzt. So kommen Captchas überall 
dort zum Einsatz, wo automatisierte 
Software Schaden anrichten könnte: in 
Foren und Gästebüchern zum Schutz 
vor automatischen Werbeeinträgen, bei 
Abstimmungen, bei der Beantragung 
neuer E-Mail-Adressen und an vielen 
weiteren Stellen. 

Zu den positiven Aspekten dieser 
Technik gehört neben einem weitgehen- 
den Schutz die einfache Implementie- 
rung, im Folgenden mit PHP veran- 
schaulicht. Negativ ist anzumerken, dass 
ein Captcha mittlerweile kein Turing- 
Test im engen Sinne mehr ist, da Com- 
puter Text in Bildern mit wachsendem 
Erfolg erkennen können. 

Bei der Implementierung von Cap- 
tchas helfen verschiedene PHP-Er- 
weiterungen, etwa die noch kaum do- 
kumentierte Imagick-Image-Library, 
oder die besser beschriebene GD-Libra- 
ry, die jedoch weniger Funktionen bie- 


e ast jeder hat sie schon mal gesehen 
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tet. Deshalb fiel die Wahl auf Imagick, 
das sich mit dem Shell-Kommando pecl 
nachinstallieren lässt. Es stellt die Klas- 
sen Imagick, ImagickDraw, Imagick- 
Pixel und ImagickPixellterator bereit. 
Im folgenden Beispiel (siehe Listing 1) 
spielen nur die drei ersten eine Rolle. 


Vorsicht bei 
der Schriftauswahl 


Zu Beginn erzeugt es die nötigen Objek- 
te, setzt den Hintergrund auf Weiß und 
stellt die Schriftart für das /magick- 
Draw-Objekt ein. Mehr Sicherheit bie- 
ten Captchas, wenn das Skript die Schrift 
für jedes Zeichen zufällig bestimmt. 
Allerdings ist darauf zu achten, dass sie 
in allen möglichen Varianten lesbar blei- 
ben. Ein Wechsel zwischen mageren 
und fetten Schriften empfiehlt sich nicht, 
da die fetten Buchstaben mehr Platz 
benötigen und durch Überlagerung die 
Lesbarkeit leidet. 

Dem Setzen der Schriftgröße folgt 
das Erzeugen des anzuzeigenden Zu- 
fallstexts. Von der zufälligen Auswahl 
aus Wörterbüchern ist dabei abzura- 
ten, da dies Angreifern die Arbeit er- 
leichtert. Stattdessen sollte man eine 
Menge von Großbuchstaben und Zah- 
len festlegen, die das Captcha enthalten 
darf. 1,I und J oder 0,Q und OÖ eignen 
sich nicht, da auch normalsichtige Be- 
sucher sie schwer unterscheiden kön- 
nen. Mischt man beispielsweise den 
String aus allen erlaubten Zeichen und 
liest ab einer Zufallsposition sechs 
Zeichen aus, sollte das für eine solche 
Anwendung ausreichend sicher sein. 


Captchas in PHP 


Mensch oder 
Maschine 


Hubert Benjamin Ritzdorf 


Ein Turing-Test soll zwischen einem 
menschlichen und einem Elektronengehirn 
unterscheiden. Captchas versuchen damit 
Webangebote vor Bots zu schützen. 


Nun erzeugt das /magick-Objekt ein 
neues 80 x 30 Pixel großes Bild. Es hat 
einen weißen Hintergrund und darüber 
einen mit addNoiselmage() erzeugten 
Haufen bunter zufälliger Pixel, soge- 
nanntes Bildrauschen. Anschließend 
schreibt annotatelmage() den Text hin- 
ein. Es ist zwar möglich, den gesamten 
Zufallsstring auf einmal auszugeben, 
doch kann man unaufwendig jedem 
Buchstaben eine zufällige vertikale Po- 
sition geben (3. Parameter der Funk- 
tion) und ihn drehen (4. Parameter). 
Aufrufe von swirl() und wave() modi- 
fizieren den Text durch Drehen um die 
Bildmitte und wellenförmiges Verzer- 
ren. Damit ist das Captcha fertig. Die 
wave()-Funktion hat es gegenüber der 
ursprünglichen Vorgabe etwas vergrö- 
Bert. Wer eine feste Größe benötigt, 
kann das Bild mit croplmage() zu- 
rechtschneiden. 

Ein letzter Bearbeitungsschritt zeich- 
net vier zufällige Linien durch das Bild. 
Es empfiehlt sich, die Endpunkte min- 
destens einer Linie einzugrenzen, da 
sonst alle am oberen Rand liegen könn- 
ten. An dieser Stelle ist zu bemerken, 
dass es sicherlich immer „bessere‘ und 
„schlechtere“ Captchas gibt, also sehr 
leicht zu entschlüsselnde und andere, 
die sogar für einen Menschen ein Rät- 
sel darstellen. Es gilt, diese Extreme zu 
vermeiden und andererseits die nötige 
Variationsvielfalt zu schaffen, die ein 
allzu leichtes Entschlüsseln verhindert. 
In diesem Fall kann der Entwickler 
zum Beispiel durch Beschränkung der 
Zufallswerte sicherstellen, dass immer 
eine Linie von links unten nach rechts 
oben verläuft. 
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Nach dem Zeichnen der Linien legt 
das Skript das Bildformat als JPEG fest. 
Vor der Übergabe an den Browser muss 
es den Text speichern, um später die 
Eingabe überprüfen zu können. Das 
Speichern übernimmt üblicherweise ei- 
ne Session-Variable, die erst nach dem 
Starten einer Session verfügbar ist. 

Mit <img src=“captcha.php“> bin- 
det man das Captcha in ein HTML-For- 
mular ein. Da möglicherweise auch ein 
Mensch den Text nicht erkennt, sollten 
Anwender ein neues Captcha generieren 
können. Des Weiteren benötigt man ein 
Feld für die Eingabe des Texts und einen 
Knopf zum Abschicken des Formulars. 


Session speichert 
das Gesuchte 


Zum Vergleich des eingegebenen mit 
dem gespeicherten Text ist zunächst 
die Session fortzusetzen, die den kor- 
rekten String enthält. Falls er noch 
existiert (die Session also noch gültig 
ist) und mit dem eingegebenen String 
übereinstimmt, sieht man den Captcha- 
Test als bestanden an. Nun sind die ge- 
schützten Aktionen zugänglich. 

Nach einem bestandenen Test hat die 
Session ihren Dienst getan und muss be- 
endet werden. Sonst könnte ein Mensch 
einmal das Captcha lösen und anschlie- 
ßend einem Bot die Session-ID samt 
Lösung überlassen, sodass der bei- 
spielsweise noch Tausende Male ab- 
stimmte könnte. Für das Beenden der 
Session reicht es hier, die Variable zu 
löschen, die den Code enthält. Das 
Skript bemerkt gegebenenfalls bei der 
Überprüfung am Anfang, dass die über- 
gebene Session bereits beendet ist und 
lehnt die neue Anfrage ab. 

Texterkennungssoftware, sogenannte 
OCR-Programme, vermag mittlerwei- 
le Text aus Bildern zu lesen. Auf das 
Knacken von Captchas spezialisierten 
Weiterentwicklungen dieser Programme 
gelingt die Entzifferung immer besser. 
Im Erkennen einzelner, verfremdeter 
Zeichen haben einige den Menschen be- 
reits überholt. Auf Internetseiten wie 
Captcha Killer, AlCaptcha, Breaking a 
Visual Captcha und PWNtcha kann man 
den Fortschritt dieser Verfahren verfol- 
gen. Wie fast immer bei Sicherheitstech- 
niken entwickelt sich ein Wettlauf: 
Während Entwickler bessere Captchas 
erstellen, gibt es stärkere Bemühungen, 
sie zu umgehen. Der Aufwand für die 
Seitenbetreiber steigt und so hat die Su- 
che nach Alternativen begonnen. Matt 
May vom W3-Consortium hat einige 
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mit ihren Stärken und Schwächen zu- 
sammengestellt. So wären etwa Rechen- 
aufgaben oder Fragen verwendbar: Was 
ist ein Planet? a) Baum b) Erde c) Hund. 
Doch auch dies ist nicht die Ultima Ra- 
tio, da nur extrem viele, stets aktuali- 
sierte Fragen Maschinen langfristig 
fernhalten können. Auch Sound-Capt- 
chas scheinen wenig Erfolg verspre- 
chend, bräuchte man doch Lautsprecher 
an jedem PC und eine gute Tonqualität. 

Sinnvoll wäre, das Bild eines bekann- 
ten Tieres, etwa eines Hundes, zu ver- 
wenden und nach der Tierart zu fragen. 
Viele verschiedene Bilder pro Tierart 
erschweren die Arbeit für Maschinen, 
stellen für Menschen aber keine Hürde 
dar. Andererseits scheitern viele fremd- 
sprachige Besucher an der Aufgabe, 
denen die Tierarten in einer anderen 
Sprache nicht bekannt sind. 

Viele Lösungen weisen noch Schwä- 
chen in Bezug auf Barrierefreiheit auf. 
So bleibt etwa Blinden all das versperrt, 
was durch Captchas geschützt ist. Das 
hat in den USA bereits erste Anwälte 
auf den Plan gerufen. Dieser Probleme 
hat sich das Captcha-Projekt angenom- 
men. Es bietet Plug-ins, mit denen sich 
grafische oder akustische Captchas auf 
der eigenen Website einsetzen lassen. 
Sie dienen einem guten Zweck: Als gra- 
fische Captchas fungieren bei der Digi- 
talisierung von Büchern nicht erkannte 
Stellen. Dabei werden bereits entschlüs- 
selte Ausdrücke, die zur Verifizierung 
der Eingabe dienen, mit noch unbe- 
kannten kombiniert. Jede Entzifferung 
stellt auf diese Weise einen Beitrag zum 
Erhalt alter Bücher dar. 


Fazit 


Als einfacher Schutzmechanismus für 
durchschnittlich besuchte Seiten ist ein 
Captcha gut geeignet. Leicht zu imple- 
mentieren, bieten sich dank der verschie- 


Listing 1: Captcha mit PHP erzeugen 


<?php 
I* Imagick-Objekt erzeugen */ 
$Imagick = new Inagick(); 
/* Weißer Hintergrund */ 
$bg = new ImagickPixel(); 
$bg->setColor("uhite'); 
I* Imagickdrau-0bjekt erzeugen */ 
$Inagickdrau = new Inagickdrau(); 
Ix Schrift setzen #/ 
$Imagickdran->setFont("/path/to/fonts/font.ttf'); 
$Inagickdrau->setFont$ize(20); 
ix Zufallstext erzeugen #/ 
$zeichen = "ACBXZRMYHTL23456789" ; 
$randonnr = nt_rand(0, strlen($zeichen)-d); 
$captcha_text = substr(str_shuffle($zeichen), 
$randonnr, 6); 
I* Neues Bild mit weißen Hintergrund erzeugen */ 
$Inagick->neulmage(85, 30, $hg); 
x Bildrauschen erzeugen */ 
$Inagick->addNoiselmage(inagick::NOISE_INPULSE); 
I* Text ins Bild schreiben */ 
for($i=0; $isb; $irr)t 
$randonnr = mt_rand(15,25); 
$Imagick->annotatelmage($Imagickdrau, 12x$i, 
$randonnr, ($randomnr-20)*2, Scaptcha_text{$i}); 
} 
ix Bild verzerren #/ 
$Inagick->swirlInage(30); 
$Inagick->wavelnage(4, 60); 
ix Zufällige Linien erzeugen */ 
$Inagickdrau->Line(mt_rand(0, 20), mt_rand(20, 30), 
mt_rand(50, 70), mt_rand(l, 10)); 
$Inagickdraw->Line(mt_rand(0, 70), nt_rand(0, 30), 
mt_rand(0, 70), nt_rand(0, 30); 
$Inagickdrau->Line(mt_rand(0, 70), nt_rand(0, 30), 
mt_rand(0, 70), nt_rand(0, 30); 
ix Bild zeichnen, Format setzen und ausgeben/ 
$Inagick->draulnage($Inagickdran); 
$Inagick->setImageFormat(" jpeg"); 
session_start(); 
$_SESSIONL"captcha_phrase'] = $string; 
echo $Imagick->getImageBlob(); 
$Imagick->destroy(); 
» 


denen Parameter viele Möglichkeiten der 
individuellen Gestaltung. Zudem muss 
der Angreifer den erheblichen Mehrauf- 
wand eines OCR-Systems auf sich neh- 
men, was viele abschrecken dürfte. Die 
Entwicklungen beider Gruppen laufen 
auf Hochtouren. So wird es bald ein 
PHP-Objekt für Captchas geben, das 
die notwendigen Methoden enthält und 
eine noch leichtere Einbindung bieten 
soll. Allerdings wurden auch hier be- 
reits Sicherheitslücken entdeckt. (ck) 
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 PRaxıs_UUUUUOUOOOVU/ C+t-Programmierung 


Boost-Tutorial Il: 
Thread- und Signal/Slot-Programmierung 


die Boost.Bind-Bibliothek. Sie er- 
laubt die Zuordnung von Werten 
zu beliebigen Argumenten von Funk- 
tionen oder Funktionsobjekten sowie 


® die automatische Erzeugung passender 

ta rts l n eo @& Funktionsobjekte. Die gemeinsame Ver- 
wendung von Boost.Bind mit der Boost. 

Function-Bibliothek (Header <boost/ 

Function.hpp>) bietet mehr als die Sum- 


Rüdiger Berlich me der Teile. 


Boost.Function implementiert eine 


T:: des ersten Tutorial-Teils war 


generalisierte Callback-Infrastruktur und 


Die frei verfü bare Boost-Bibliothek lässt das Herz manches ermöglicht es zudem, Funktionen und 
8 

C++-Programmierers höherschlagen, da sie dringend benötigte EUER DNBSDE NIE WIE Vera En Zur 

> ö s 5 . teren Verwendung zu speichern oder als 

und häufig vermisste Funktionen zur Verfügung stellt. Dieser Argument zu übergeben. Eine weitere 

zweite Tutorial-Teil spannt den Bogen von generalisierten u. .n—_.. 

enutzer nicht mehr zwischen Funk- 


Callback-Funktionen über Threads bis hin zur Signal/Slot- tionsobjekten und -zeigern unterscheiden 
Programmierung und zum Umgang mit Zeit-Ausdrücken. Burn, Bin Pocsp nenn Obeh mil 

einer bestimmten Signatur ist kompati- 
bel mit allen funktionsartigen Entitäten 
mit derselben Signatur. Die Signatur 
ergibt sich aus dem Rückgabewert und 
den Argumenten. 


Funktionen in 
Variablen speichern 


Zur Erläuterung von Boost.Function soll 
die Klasse functionTester dienen (Lis- 
ting 1). Alle Benutzerinteraktionen erfol- 
gen über die beiden Methoden der Klas- 
se — das Beispiel verzichtet daher der 
®: fr, Einfachheit halber auf Konstruktor und 
A Destruktor. Beide erzeugt der Compiler 
automatisch. Die Aufgabe der Klasse 
ist, mit einer gegebenen Methode einen 
String auszudrucken. Die Ausgabefunk- 
tion selber ist nicht Teil der Klasse, 
sondern wird mit der Methode func- 
tionTester::setMessenger() durch den 
Benutzer registriert. setMessenger() er- 
hält ein boost::function-Objekt als Argu- 
ment. Als Template-Argumente übergibt 
das Programm dem function-Objekt den 
gewünschten Rückgabewert (in diesem 
Fall einfach void) sowie ein oder meh- 
rere Funktionsargumente (hier eine kons- 
tante Referenz auf einen std::string). 
Bei boost::function<void (const 
string&)> fhandelt es sich um ein her- 
kömmliches Objekt, das man entspre- 
chend behandeln kann. Das Beispiel- 
programm speichert es einfach in einer 
privaten Variable f_ desselben Typs 
zur späteren Verwendung. Da das Pro- 
gramm keine Referenz übergeben hat, 
kopiert es das boost::function-Objekt. 
Der Umgang mit dieser Klasse ist also 
nicht viel komplizierter als etwa mit 
einem Integer-Wert. 
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Mitteilungen soll die functionTes- 
ter::printMessage()-Funktion ausge- 
ben. Sie erhält einen std::string als 
Argument und übergibt es an das ge- 
speicherte boost::function-Objekt zur 
Auswertung. Natürlich muss hierbei 
eine gewisse Fehlerprüfung erfolgen — 
schließlich kann es sein, dass noch 
keine Funktion registriert wurde. Da 
boost::function implizit in einen Bool- 
Wert umgewandelt werden kann, ist 
dies einfach. Das Beispielprogramm 
ruft {_(msg) genau dann auf, wenn es 
in f_ eine passende Funktion gespei- 
chert hat. Ist dies nicht der Fall, gibt 
es eine Fehlermeldung aus. 

Mit den passenden Funktionen und 
Funktionsobjekten lässt sich die Klas- 
se functionTester ausprobieren. Eine 
einfache Funktion ohne Rückgabewert 
void freeMessenger(const string& msg) 
{3 sowie eine Klasse messenger erfül- 
len diesen Zweck (Listing 2). 

freeMessenger() sollte selbsterklä- 
rend sein. Die Klasse messenger im- 
plementiert mit messenger::operator() 
(const string&) ein Funktionsobjekt. 
Die Ausgabe des Strings erfolgt in der 
Memberfunktion freeMessenger::mes- 
sagePrinter(). 

Um zwischen dem Aufruf über den 
operator() und dem direkten Aufruf zu 
unterscheiden, erhält sie neben dem 
String ein zusätzliches Argument int 
mode, mit dem sie den jeweiligen Mo- 
dus anzeigen kann. 

Listing 3 zeigt, wie man die einzelnen 
Komponenten in main() zusammenbaut. 
Zunächst legt es einen std::vector von 
shared_ptr-Objekten an, die auf func- 
tionTester-Objekte zeigen. Diesen Con- 
tainer füllt es dann mit functionTester- 
Objekten. Die folgenden Ausführungen 
demonstrieren vier verschiedene Fälle. 

Zur shared_ptr-Klasse hat bereits der 
erste Teil des Tutorials Erläuterungen 
gegeben. Es handelt sich hierbei um ei- 
ne Smartpointer-Klasse aus Boost. Sie 
erspart es dem Entwickler, am Ende der 
Programmausführung mit delete die dy- 
namisch allozierten Objekte zu löschen. 

Anlässlich eines Leserkommentars 
(siehe Leserbriefe Seite 8) sei an dieser 
Stelle darauf hingewiesen, dass die 
durch den shared_ptr vorgenommene 
Allozierung von Objekten in der Form 
shared_ptr<functionTester> p(new fun 
ctionTester); anstelle von functionTester 
*f = new functionTester();shared_ptr 
<functionTester> p(f),; erfolgen sollte 
(vgl. Listing 3 dieses Artikels; Listing 2 
des ersten Tutorial-Teils handhabt dies 
anders). Der Grund dafür, die Seman- 
tik aus Listing 3 zu wählen, sind Aus- 
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nahmen, die ein Programm beispiels- 
weise bei der Allozierung des Objekts 
werfen kann. Für weitere Regeln im 
Umgang mit shared_ptr sei auf den 
Abschnitt „Best Practices“ der Doku- 
mentation verwiesen (siehe „Online- 
quellen“ [b]). 

JunctionTester::setMessenger() re- 
gistriert einen Funktionszeiger auf die 
freie freeMessenger-Funktion. Es folgt 
ein Funktionsobjekt (messenger() er- 
zeugt dabei ein temporäres Objekt der 
Klasse messenger). Im dritten Fall er- 
zeugt boost::bind ein Funktionsobjekt, 
in dem ein direkter Aufruf von func- 
tionTester::messagePrinter() erfolgt. 
Damit die Memberfunktion dies weiß, 
muss der passende Wert (2) an das 
mode-Argument gebunden werden. Hier 
zeigt sich wieder, wie nützlich boost:: 
bind ist. Dem vierten und letzten func- 
tionTester-Objekt wird bewusst keine 
Funktion zugewiesen. 

Als letzte Aufgabe bleibt, die vier 
printMessage()-Funktionen der im 
Container gespeicherten functionTes- 
ter-Objekte aufzurufen. Die Ausgabe 
des Programms sieht so aus: 


Free messenger says: Hello World 
Function object says: Hello World 
Member function says: Hello World 
No callback registered yet 


Offensichtlich hat das Programm einen 
Funktionspointer und zwei unterschied- 
liche Funktionsobjekte erfolgreich als 
Argumente an functionTester::setMes- 
senger() übergeben und in einer priva- 
ten Variablen der Klasse gespeichert. 
Dies ermöglicht Benutzern wie Biblio- 
theksdesignern eine bislang nicht dage- 
wesene Freiheit. 

Im vierten functionTester-Objekt ist 
keine Funktion gespeichert. printMes- 
sage() fängt diesen Fehler ab, indem 
es die Fähigkeit des boost::function- 
Objekts nutzt, sich in einen Bool- 
Wert wandeln zu lassen. Hier zeigt 


Listing 1: Die Klasse functionTester 


class functionTester 


public: 
void printlessage(const string& nsg){ 
tt) 
t_(nsg); 
else 
cout << "No callback registered yet" << endl; 
} 


void setMessenger(boost::functionsvoid (const stringk)> f){ 


t_=f; 

} 
private: 

boost::functionsvoid (const stringe)> f_; 
}; 


Listing 2: freeMessenger-Funktion 
und messenger-Klasse 


void freellessenger(const string& nsg)t 
cout << "Free messenger says: " <<.msg << endl; 
} 
class messenger 
{ 
public: 
void operator()(const string& nsg){ 
messagePrinter(nsg, 1); 
} 
void messagePrinter(const string& msg, int mode){ 
if(mode==1) 
cout << "Function object says: " <<.msg << endl; 
else 
cout << "Member function says: " <<.msg << endl; 
} 
} 


Listing 3: main() 


int main(int arge, char xtargv){ 
typedef vector<shared_ptr<functionTester> > ftType; 
ftType ftContainer; 
for(unsigned int i=0; i<4; ++i){ 
shared_ptr<functionTester> p(new functionTester); 
ftContainer.push_back(p); 


II Registering a function pointer 
ftContainer[0]->setllessenger(RfreeMessenger); 
II Registering a function object 
ftContainer[1]->setllessenger (nessenger()); 
II Registering a menber function with partial argument binding 
messenger Messenger; 
ftContainer[2]->setllessenger( 
boost::bind(&messenger::messagePrinter, 

&Messenger,_1, 2) 
) 


II Position 3 intentionally left empty 

ftTypes:iterator it; 

forCit=ftContainer.begin(); it!=ftContainer.end(); ++it) 
(#it)->printliessage("Hello World"); 

return 0; 


aktiviert. 


IK-TRACT 


© Die Boost.FunctionBibliothek erleichtert C++-Programmierern den Umgang 
mit Callbacks, unter anderem dadurch, dass sie nicht mehr zwischen Funktions- 
objekten und Zeigern unterscheiden müssen. 


© Boost.Thread profitiert von Boost.Function und trägt dafür Sorge, dass mehrere 
Threads in einem Programm problemlos parallel laufen können. 


© Auch die Boost.SignalsBibliothek setzt auf die Konzepte von Boost.Function. 
Der Signal/Slot-Mechanismus erlaubt es, Funktionen einer Klasse aus einer anderen 
heraus aufzurufen, ohne dass der Aufrufer wissen muss, welche Funktion sein Signal 
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C+t-Programmierung 


sich wieder das durchdachte Design 
der Bibliothek. 

Boost.Bind und Boost.Function besit- 
zen noch eine Schwesterbibliothek: 
Boost.Lambda. Sie soll hier nur gestreift 
werden. Die aus Lisp und Python be- 
kannte Technik der anonymen Funktio- 
nen (auch Lambda-Funktionen genannt) 
erlaubt es, am Ort eines Aufrufs Funk- 
tionen ohne Namen zu erstellen. Wenn 
Funktionen nur an einer Stelle im Pro- 
grammtext vorkommen, kann man so 
die Komplexität einer Anwendung redu- 
zieren. Boost implementiert diese Mög- 
lichkeit nun auch für C++. Bemerkens- 
wert ist, dass Boost.Lambda ohne 
Änderungen des C++-Standards aus- 
kommt. Der Artikel wird im Folgenden 
noch mehrfach auf Boost.Function und 
Boost.Bind eingehen, Boost.Lambda 
kommt jedoch nicht weiter zur Sprache. 

Eine Bibliothek, die von Boost.Func- 
tion stark profitiert, ist Boost.Thread. 
Threads sind parallele Ausführungsein- 
heiten in einem Programm. Durch die 
parallele Nutzung etwa verschiedener 
Prozessoren steigt (im Idealfall) die 
Ausführungsgeschwindigkeit. 


Listing 4: Programm mit einem Thread 


unsigned int global_store = 0; 
const unsigned int MAXCOUNTER = 500; 
void counter(unsigned int n = 1{ 
uhile(true)t 
if(global_store > MAXCOUNTER) break; 
if(++global_store4100 == 0) 
cout << "In counter " <<n s< "2." << global_store << endl; 


} 

int main(int arge, char xsargv){ 
boost::thread entThrd1(kcounter); 
entThrdi. join); 
return 0; 


Listing 5: 
Erweiterte counter{J-Funktion 


boost::mutex ent_nutex; 
unsigned int global_store = 0; 
const unsigned int MAXCOUNTER = 1000; 
void counter(unsigned int n = 1{ 
unsigned int tmp_global_store; 
uhile(true)t 
{ /1 additional scope used for scoped_lock 
boost::mutex:sscoped_lock Lock(ent_nutex); 
if(global_store >= MAXCOUNTER) break; 
if(++global_store % 100 == 0) 
cout << "In counter function " ns "n "\ 
<< global_store << endl; 


tmp_global_store = global_store; 
II save variable for later usage 


II Put the thread to sleep for random amount of tine 
NTRand rnd(tmp_global_store); 

I initialise with current global store 

xtime xt; 

boost::xtime_get(&xt, boost::TIME_UTE); 

// the current time 

xt.sec += 0; // seconds 

xt.nsec += end. randInt (1000000); 

I! random amount of nanoseconds in range [0,1000000] 
boost::thread::sleep(xt); 


146 


Bekannte, portable Thread-Imple- 
mentierungen sind beispielsweise die 
Posix Threads (mit einer C-API) oder 
die Thread-Bibliothek von Trolltechs 
Ot. Erstere ist unter C++ etwas be- 
schwerlich zu nutzen. Callbacks werden 
über Funktionspointer realisiert, und das 
Design kann (aufgrund der Einschrän- 
kungen der Programmiersprache C) 
nicht der unter C++ eigentlich obliga- 
torischen Typsicherheit folgen. OQts 
Thread-Bibliothek ist recht Komforta- 
bel und auch für freie Programme ein- 
setzbar (sofern diese unter der GPL 
stehen). Nicht jeder mag allerdings 
seine eigenen Programme ebenfalls un- 
ter die GPL stellen oder alternativ eine 
Ot-Lizenz erwerben. Hier kommt das 
ebenfalls portable Boost ins Spiel. 

Ein Thread muss die Funktion ken- 
nen, die er nach seinem Start ausfüh- 
ren soll. In Qt leitet man hierzu eine 
Klasse von OThread ab und imple- 
mentiert eine run()-Methode. Obwohl 
einsichtig, schränkt dieses Design et- 
was ein. Boost verlässt sich hier voll 
auf die Boost.Function-Bibliothek und 
erscheint somit flexibler. Die auszufüh- 
renden Methoden werden nach Wahl als 
Funktionsobjekt oder als -pointer über- 
geben. Boost.Function kommt mit bei- 
den zurecht. Einen einfachen Fall zeigt 
Listing 4. 

Eine Funktion counter() inkremen- 
tiert eine globale Variable global_store, 
bis diese einen Maximalwert erreicht 
hat. Alle 100 Inkrementierungen gibt 
sie den aktuellen Status aus. Das Bei- 
spiel startet nur einen Thread in main() 
(genau genommen zwei, da main() wei- 
ter aktiv bleibt). Um später verschiedene 
Threads unterscheiden zu können, er- 
hält counter() ein Argument n mit dem 
Standardwert 7. 

Der Start des Threads erfolgt durch 
die Instanziierung eines boost::thread- 
Objekts, dem ein Funktionszeiger auf 
counter() übergeben wird. Um das 
Funktionsargument muss sich der Pro- 
grammierer wegen des Standardwerts 
von / an dieser Stelle nicht kümmern. 

main() wartet mit boost::thread:: 
Join() auf das Ende der Ausführung von 
counter(). Ist dies erreicht, beendet sich 
das Programm. Das Beispiel ist zuge- 
gebenermaßen noch nicht sehr aufre- 
gend. Es soll jetzt auf mehrere Threads 
erweitert werden. Dies betrifft zunächst 
die counter()-Funktion (Listing 5). 

Hier wird es schon interessanter. 
Das Programm soll mehr als eine coun- 
ter()-Funktion gleichzeitig betreiben. Es 
gibt jedoch eine Reihe von Ressourcen, 
die von mehreren Funktionen gemein- 


sam genutzt werden. Offensichtlich ist 
dies bei der global_store-Variable, die 
alle Funktionen schreiben sollen. Die- 
sen Zugriff gilt es zu synchronisieren, 
sonst herrscht Chaos. 

Den Zugriff reguliert man deshalb oft 
mit einem Mutex. Er muss vor jedem 
Zugriff auf eine gemeinsame Ressource 
blockiert werden (Boost.Thread sorgt 
dafür, dass dies sicher vor verschie- 
denen Ausführungssträngen erfolgen 
kann). Bei blockiertem Mutex hält die 
Ausführung eines Threads an. Erst wenn 
der Mutex wieder freigegeben wurde 
und der Thread ihn für sich beanspru- 
chen konnte (andere Threads können 
um diesen Mutex ebenfalls konkurrie- 
ren), kann seine Ausführung weiterge- 
hen. Halten sich alle Threads an die 
Konvention, vor dem Zugriff auf eine 
gemeinsame Ressource einen Lock auf 
einen Mutex zu setzen, ist die Gefahr 
gebannt. Dabei sollte allerdings Klar 
sein, dass das Anhalten eines Threads 
nicht gerade zur Beschleunigung eines 
Programms beiträgt. 


Das Beste aus 
parallelen Welten 


Nicht nur gemeinsame Variablen gilt 
es zu schützen. Auch Funktionsaufrufe 
können kritisch sein, wenn diese nicht 
auf die Verwendung mit Threads zuge- 
schnitten sind. Die geänderte counter()- 
Funktion macht dies offensichtlich. 

Innerhalb der while()-Schleife ver- 
sucht das Programm zunächst, den Zu- 
griff auf den Mutex cnt_mutex zu er- 
halten. Wie in Boost üblich, bedient 
sich das Beispiel dabei der Technik, 
automatische Variablen die Freigabe 
einer Ressource übernehmen zu lassen. 
In diesem Fall gibt das scoped_lock- 
Objekt automatisch den Mutex frei, 
wenn es das Ende seiner Lebensdauer 
erreicht. Um diesen Prozess zu steuern, 
rahmen geschweifte Klammern den ent- 
sprechenden Bereich ein. So entsteht ein 
eigener Geltungsbereich. 

Innerhalb dieses Bereichs prüft das 
Programm - nachdem es den Zugriff 
auf den Mutex erlangt hat — zunächst, 
ob die Zählvariable ihren Maximalwert 
überschritten hat. Hier zeigt sich übri- 
gens, warum in diesem Fall eine End- 
losschleife sinnvoll ist. Eine Abfrage 
while(global_store < MAXCOUNTER) 
wäre zwar möglich (das Lesen von glo- 
bal_store außerhalb des Mutex-Schutzes 
ist unkritisch, da es sich um eine atoma- 
re Operation handelt). Jedoch wird der 
Mutex erst danach in Anspruch genom- 
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men. Es gibt also keine Sicherheit, dass 
beim Zugriff auf global_store nicht ein 
anderer Thread dessen Wert bereits wie- 
der geändert hat. Alle Schreib- und Le- 
sezugriffe auf die gemeinsam genutzten 
Ressourcen sollten daher im Schutz des 
Mutex erfolgen. Aus demselben Grund 
speichert counter() den aktuellen Wert 
von global_store in einer lokalen Varia- 
blen zur späteren Verwendung. 

Der gleichzeitige Zugriff auf std: 
cout aus mehreren Threads gleichzeitig 
kann wegen des Caching übrigens Pro- 
bleme verursachen. Auch hier ist der 
Schutz eines gesperrten Mutex hilfreich. 

Mit dieser Infrastruktur lässt sich glo- 
bal_store nun schon aus mehreren 
Threads gleichzeitig hochzählen. Aller- 
dings ginge dies bei einem Maximalwert 
von 1000 zu schnell — wahrscheinlich 
kämen nicht alle Threads zum Zuge. 

Daher wird festgelegt, dass der 
Thread nach der Freigabe des Mutex ei- 
ne Weile inaktiv ist. Dies würde man 
normalerweise mit der usleep()-Funk- 
tion realisieren. Im Regelfall ist sie 
aber nicht für die Benutzung in Threads 
geeignet. Deshalb kommt hier die Boost. 
Thread-eigene sleep-Funktion zum Ein- 
satz. Die Berechnung einer Zufallszahl 
soll verhindern, dass die Threads im- 
mer gleich lang schlafen. Hier zeigt sich 
wieder, dass man bei der Thread-Pro- 
grammierung meist nicht einfach eine 
der Standardfunktionen der C-Biblio- 
thek verwenden kann, da diese bei- 
spielsweise gelegentlich einen internen 
Status speichern. Die gemeinsame Ver- 
wendung aus mehreren Threads kann 
dann zu Fehlern führen. Der Einfachheit 
halber verwendet das Beispielprogramm 
eine frei verfügbare Implementierung 
von Zufallszahlen: die Klasse MTRand 
aus MersenneTwister.h von Richard ]J. 
Wagner [c]. 

Da ein lokales Objekt erzeugt wird, 
das keine globalen Variablen verwen- 
det, ist dies unkritisch. Als Eingabe für 
den Zufallszahlengenerator dient der 
zwischengespeicherte Wert von glo- 
bal_store. MTRand::randInt( 1000000) 
liefert einen Integer-Wert im Bereich 
[0,1000000], der für die zufällige War- 
tezeit verwendet werden kann. Leider 
ist der Umgang mit boost::thread:: 
sleep() etwas umständlich. 

Der Start der Threads erfolgt erneut 
in main() (Listing 6). Im Unterschied 
zum ersten Beispiel verwendet dieses 
eine thread_group und fügt diesem 
Container für Thread-Objekte auf drei 
verschiedene Weisen Threads hinzu. 
Auch hier zeigen sich wieder die Vor- 
teile von Boost.Function. 
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Der erste Thread verwendet einen 
Funktionspointer auf counter(). Im 
zweiten Fall kommt ein Funktionsob- 
jekt der Klasse counter_class zum Ein- 
satz. Und schließlich wird mit boost:: 
bind ein boost::function-Objekt initia- 
lisiert, das dem dritten Thread als Ar- 
gument übergeben wird. Die Fälle las- 
sen sich durch Indizes unterscheiden, 
die Argumente der counter()-Funktion 
sind. Ein Ausschnitt aus der Ausgabe 
des Programms sieht aus wie folgt: 


In counter function 2: 600 
In counter function 3: 700 
In counter function 2: 800 
In counter function 1: 900 


Es ist übrigens sinnvoll zu überprüfen, 
ob überhaupt eine Thread-Implementie- 
rung in Boost zur Verfügung steht. Dies 
kann im Kopfteil des Programmtexts 
geschehen. Wann immer Threads in 
Boost verfügbar sind, ist BOOST_HAS_ 
THREADS definiert. Man kann also ein- 
fach schreiben: 


#ifndef BOOST_HAS_THREADS 
#error "Error: No thread support 


#enldif 
Den Rest erledigt in diesem Fall der 
Präprozessor. 

Selbst dieses einfache Beispiel sollte 
deutlich gemacht haben, dass Thread- 
Programmierung alles andere als eine 


Bewegliche Ziele 


Tutorials beschreiben oft bewegliche Zie- 
le. Boost (und die für dieses Tutorial ver- 
wendete Plattform) fügt sich in diese Re- 
gel ein. Seit der Veröffentlichung des 
ersten Teils dieser dreiteiligen Serie wurde 
nicht nur eine neue Version von Opensuse 
freigegeben. Mit Boost 1.34.1 steht mitt- 
lerweile eine Plattform zur Verfügung, die 
in puncto Funktionsvielfalt und Fehlerfrei- 
heit gegenüber der Version 1.33.1 deutli- 
che Vorteile bietet. Da Opensuse 10.3 
weiterhin mit dem „alten“ Boost 1.33.1 
ausgeliefert wird, soll hier kurz auf die 
Übersetzung der Bibliothekssammlung in 
diesem Umfeld eingegangen werden. 


Unter Linux ist der eigentliche Überset- 
zungsvorgang fast trivial — wie bei den 
meisten Open-Source-Paketen beschränkt 
er sich auf den Aufruf von configure, ge- 
folgt von make. Die jeweils neuesten Quel- 
len sind auf der Boost-Website [a] verfüg- 
bar. Etwas komplizierter gestaltet es sich, 
wenn man zusätzliche Funktionen wünscht, 
die im Standardpaket nicht enthalten sind. 
Neben den Basiskomponenten gibt es eine 
Vielzahl an Bibliotheken, die dem Boost- 
Entwicklungsmodell folgen und, was wich- 
tiger ist, sich in dessen Infrastruktur einfü- 
gen. Ein Beispiel ist die in diesem Artikel 
erwähnte threadpool-Bibliothek von Phil- 
ipp Henkel. Daneben gibt es Libraries, die 
zwar offiziell Eingang in Boost gefunden 
haben, aber noch nicht in der aktuellen 
Release enthalten sind. Besonders wichtig 
ist hier die asio-Bibliothek, die Boost um 
Funktionen für asynchrones IO, insbeson- 
dere auf Netzwerkebene, ergänzt. Auf asio 
geht der dritte Teil des Tutorials näher ein. 
Für die Verwendung von asio und thread- 
pool ist unter Boost 1.34.1 etwas Hand- 
arbeit nötig. 


Der erste Schritt ist das Herunterladen und 
Entpacken der Boost-Quellen - in diesem 
Fall der Version 1.34.1. Die threadpool-Bi- 
bliothek ist in der Version 0.2.4 auf der 
threadpool-Website [f] zu finden. asio ist 
in der Version 0.3.8 ebenfalls über Source- 


forge erhältlich [h]. Beim Download sollte 
das mit „boost“ beginnende Paket gewählt 
werden. asio hat seinen Ursprung außerhalb 
von Boost, und so gibt es eine weitere Ver- 
sion der Bibliothek, die die Boost-Konven- 
tionen nicht beachtet. Beide Pakete ent- 
packt man in einem beliebigen Verzeichnis. 


Den Inhalt des asio- Verzeichnisses kopiert 
der Befehl 


cp -ir * „„/boost_1_34_1/ 


in das Boost-Verzeichnis (dabei wird of- 
fensichtlich angenommen, dass sich dieses 
im Elternverzeichnis befindet). Bei der 
threadpool-Bibliothek wechselt man in 
das Unterverzeichnis threadpool/include 
des Archivs und kopiert den Inhalt mit 


cp -ir * .„/../../boost_1_34_1/boost/ 


in das Unterverzeichnis boost des Boost- 
Archivs. Auch hier gelten dieselben Annah- 
men über den Ort der Boost-Bibliothek. 


Unter Opensuse 10.3 gibt es eine weitere 
Besonderheit. Durch ein Problem im Zu- 
sammenspiel mit Opensuses Standard- 
compiler G++ 4.2.1 und Boosts Build- 
System bjam ist es nötig, in einem Skript 
von Hand eine Compiler-Einstellung vor- 
zunehmen. Hierzu ändert man Zeile 155 in 
der Datei tools/jam/src/build.jam (relativ 
zur Archivwurzel), sodass dort der Text 


toolset gce gce:: "0": -D 
: -pedantic -fno-strict-aliasing 


steht. Nun reicht das beschriebene confi- 
gure,; make; make install für die Überset- 
zung der Bibliothek aus. 


Während asio in der kommenden Boost- 
Version 1.35 enthalten sein soll, dürfte es 
bei threadpool noch etwas länger dauern, 
bis sie Eingang in die Standarddistribution 
erhält. 


Man sollte sich übrigens nicht von der nie- 


drigen Versionsnummer schrecken lassen 
— beide Bibliotheken sind stabil. 
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C+t-Programmierung 


triviale Angelegenheit ist. Wer sich den- 
noch bislang nicht hat abschrecken las- 
sen, kann über die Boost-Webseite [a] 
und ein Online-Tutorial [d] weitere An- 
regungen zur Thread-Programmierung 
mit Boost sammeln. Die Webseiten bie- 
ten darüber hinaus eine Reihe von Hilfe- 
stellungen zu diesem Thema. 
Besonders erwähnenswert erscheint 
die threadpool-Bibliothek von Philipp 
Henkel [f]. Sie ist auf die Verwendung 
mit Boost abgestimmt, hat aber noch 
keinen Eingang in die Kernsammlung 
gefunden. Dem Namen entsprechend 
implementiert threadpool das Thread 
Pool Pattern. Die Aufgabe von thread- 
pool kommt damit der eines Vermittlers 
(Broker, Dispatcher) gleich: Hat man ei- 
ne Reihe M an Aufgaben, die durch eine 
Anzahl N von Threads abgearbeitet wer- 
den sollen, so weist threadpool den 
Threads ihre jeweiligen Aufgaben zu. 
Hat ein Thread seine Aufgabe beendet, 
erhält er eine neue aus der Liste noch 
unbearbeiteter Tasks. Die Anzahl der 
Aufgaben ist typischerweise deutlich 
größer als die der Threads. 

Je nach Implementierung bedeutet das 
Erzeugen und Zerstören von Threads ei- 
nen signifikanten Aufwand. Mit rhread- 
pool kann man das vermeiden. Für die 
Bibliothek bedeutet das zwar einigen 
Verwaltungsaufwand, allerdings sieht 
der Benutzer nichts von der Komplexität 
dieses Vorgehens. Er weist threadpool 
lediglich Aufgaben zu und überlässt der 
Bibliothek die Verwaltungsarbeit. Der 
Kasten „Bewegliche Ziele‘ enthält eini- 
ge weitere Details zu threadpool. 

Das Beispiel aus Listing 5 und 6 
hätte man mit einem Thread-sicheren 


Signal/Slot-Mechanismus möglicher- 
weise einfacher implementieren können. 
Ein solcher steht unter Boost leider 
(noch) nicht zur Verfügung (auch wenn 
die Vault-Bibliotheken bereits einen 
Prototypen enthalten). Ist man jedoch 
bereit, auf Threads zu verzichten, bietet 
die Boost.Signals-Bibliothek von Dou- 
glas Gregor eine ausgereifte Implemen- 
tierung des Signal/Slot-Konzepts an. 
Wiederum kommen dabei die Konzepte 
von Boost.Function ins Spiel. 


Signale setzen 
in gutem Glauben 


Bei dem Signal/Slot-Mechanismus han- 
delt es sich um eine weitere Möglich- 
keit, Funktionen einer Klasse aus einer 
anderen heraus aufzurufen (beschrie- 
ben als „Senden eines Signals“). Der 
Aufruf kann auch die Übergabe von 
Parametern und die Rückgabe von 
Werten beinhalten. 

Das ist an sich nicht revolutionär. 
Bedeutung erlangt es dadurch, dass der 
Aufrufer nicht darüber Bescheid wissen 
muss, welche Funktion sein Signal ak- 
tiviert. Das bestimmt der Programmie- 
rer außerhalb der aufrufenden und aus- 
führenden Klasse, indem er Signale mit 
Slots verbindet. Dabei ist es erlaubt, ei- 
nem Signal mehrere Slots zuzuweisen, 
sodass ein Signal mehr als eine Ziel- 
funktion aktiviert. 

Bekannt geworden ist dieser Mecha- 
nismus vermutlich durch Trolltechs Im- 
plementierung in der Ot-Bibliothek, die 
unter anderem der KDE-Oberfläche von 


Listing 6: Start der Threads 


Listing 7: date_fime 


int main(int arge, char *targv){ 
cout << "Test verschiedener Zeitabstaende" << endl; 
ptine t1 = microsec_clock:tlocal_tine(); 
usleep(100000); 
ptine t2 = microsec_clock:tlocal_tine(); 


ptine t3 = microsec_clock:tlocal_tine(); 
usleep(200000); 
ptine t4 = microsec_clock::local_tine(); 


tine_duration tx = (t2-t1); 
tine_duration ty = (t4-t3); 
cout SS "ine" Sta sc", tya" s<ty ss endl; 


ifltx >= ty) cout << "tx ist groesser" << endl; 
else cout << "ty ist groesser" << endl; 


ptine t5(date(2001, Jan, 1)); 
ptine t6(second_clock::local_tine()); 


cout << "Stunden seit dem 1.1.2001: " << (t6-t5).hours() << endl; 


cout << "Zeitintervall aus Stunden, Minuten, Sekunden:" << endl; 


tine_duration td = hours(17) + minutes(22) + seconds); 
cout << "him:s = " << td.hours() << "3" << td.minutes() << "2" 
cout << "Gesamt-Sekunden = " << td.total_seconds() << endl; 


cout << "Initialisierung mit String \"00:00:00.000\"" << endl; 


tine_duration enpty(duration_fron_string("00:00:00.000")); 
cout << "total_seconds = " << empty.total_seconds() << endl; 
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class counter_classt 
public: 

void operator()C)E counter(2); } 
}: 


1 


int main(int arge, char xtargv){ 
boost::thread_group thrd_grp; 
counter_class cnt_elass; 
boost::functionsvoid (void)> bf_counter = 
boost::bind(counter, 3); 


thrd_grp.create_thread(kcounter); 
thrd_grp.create_thread(ent_class); 
thrd_grp.create_thread(bf_counter); 


thrd_grp. join_allO; 
return 0; 


1 


< td.seconds() << endl; 


Linux zugrunde liegt. Trolltech bemüht 
hierzu Makros und den Meta Object 
Compiler moc zusammen mit eigenen 
Schlüsselwörtern. Dies kommt fast ei- 
ner Erweiterung des C++-Sprachstan- 
dards gleich. Boost kommt ohne solche 
Umwege aus. Umgekehrt ist aber zu er- 
wähnen, dass Qt in der aktuellen Ver- 
sion durchaus Signal/Slot-Verbindun- 
gen zwischen Threads zulässt und 
(nicht nur) damit wohl flexibler ist. 

Ziel dieses Abschnitts ist es, eine 
Art Time Server zu erstellen. Über das- 
selbe Signal soll er — je nach Slot — die 
aktuelle Zeit oder die seit dem 1.1.2001 
vergangene ausgeben. Um dies zu be- 
wältigen, zunächst ein Blick auf eine 
weitere Boost-Komponente — Jeff Gar- 
lands date_time-Bibliothek. 

Ein einfaches Beispiel demonstriert 
das Vorgehen (Listing 7, Header: 
<boost/date_time.hpp>). Zunächst fragt 
das Programm in Abständen von 0,1 
und 0,2 Sekunden nach der aktuellen 
Zeit, mit einer Auflösung im Mikrose- 
kundenbereich. Die Werte speichert es 
in ptime-Objekte (Posix Time). Aus ih- 
nen kann man intuitiv die vergangene 
Zeit berechnen, etwa durch den Aufruf 
time_duration tx = (t2-t1);. 

time_duration-Objekte lassen sich 
auch miteinander vergleichen. 1x und ty 
sind beides fime_duration-Objekte. Der 
Vergleich tx >= ry erlaubt eine Aussage 
darüber, ob 1x größer (oder eventuell 
gleich) ry ist. Die Ausgabe kann in ver- 
schiedener Granularität erfolgen, etwa in 
Stunden, Minuten oder Sekunden. Um- 
gekehrt lässt sich ein time_duration-Ob- 
jekt zum Beispiel mit Stunden, Minu- 
ten oder Sekunden initialisieren. 

Die Ausgabe von Listing 7 lautet: 


Test verschiedener Zeitabstaende 
1x=00:00:00.101221,1y=00:00:00.201106 

ty ist groesser 

Stunden seit dem 1.1.2001: 60074 

Zeitintervall aus Stunden, Minuten, Sekunden: 

h:m:s = 17:22:3 

Gesamt-Sekunden = 62523 

Initialisierung mit String "00:00:00.000" 
total_seconds = 0 

Die Verwendung von date_time ist so 


intuitiv und die Dokumentation auf der 


Tutorialinhalt 


Teil I: Allgemeine Eigenschaften, 
Shared Pointer und Container-Klassen, 
Operatoren, Lizenzmodell 


Teil Il: Speicherung von Funktionszeigern 
und Objekten, Thread-Programmierung, 
Umgang mit Zeit-Ausdrücken 

Teil Ill: Zufallszahlen, Serialisierung, 
Portabilität und Skalierbarkeit 


iX 1/2008 


und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


C+t-Programmierung 


Listing 8: Zwei Time Server 


class total_tine_servert 
public: 
string operator()(void){ 
ptine t1(second_elock::local_tine()); 
return to_sinple_string(t1); 


} 

class time_difference_servert 

public: 

string operator()(string startdate){ 

ptine t1(fron_sinple_string(startdate)); 
ptine t2(second_clock::local_tine()); 
time_duration td = t2-t1; 
return to_sinple_string(td); 


}; 
class time_retriever 
{ 


public: 
boost::signalsstring (void)> getTime; 
boost::signalsstring (void), 
aggregate_values\<vectorsstring> > > getAllTines; 


1 


Listing 9: main() des Signal-Beispiels 


int main(int arge, char xtargv){ 
total_time_server tts; 
time_difference_server tds; 
time_retriever tr; 
boost::signals:zconnection c=tr.getTime.connect(tts); 
cout << tr.getTime() << endl; 
c.disconnect(); 
e=tr.getTine.connect(boost::bindsstring>(tds,"2001-01-01")); 
cout << tr.getTime() << endl; 
c.disconnect(); 
ifl!c.connected()) cout << "Connection terminated!" << endl; 
boost::signals:sconnection e1=tr.getAllTines.connect(1,tts); 
boost::signals:sconnection c2= 

tr.getAllTimes. connect(Q,boost::bindsstring>(tds,"2001-01-01")); 
vectorsstring> results = tr.getAllTines(); 
copy(results.begin(), results.end(), 
ostream_iteratorsstring>(cout, " ")); 

cout << endl; 
return 0; 


Boost-Homepage so gut, dass keine 
weiteren Erläuterungen zu dieser Bi- 
bliothek notwendig sein dürften. Daher 
zurück zum Beispielprogramm. 

Zunächst führt es drei kleine Klassen 
ein: fotal_time_server, time_difference 
_server und fime_retriever (Listing 8). 
Die ersten beiden Klassen implementie- 
ren Funktionsobjekte, die bei Aufruf ei- 
nen std:string mit einem Zeitausdruck 
zurückgeben. Im ersten Fall ist dies die 
aktuelle Zeit, im zweiten die seit einem 
als Argument übergebenen Startzeit- 
punkt vergangene Zeit. Die Funktions- 
weise beider Klassen sollte nach der 
Einführung der date_time-Bibliothek 
verständlich sein. 

time_retriever enthält zwei Signale. 
Das erste — gerTime - ist zur Speiche- 
rung eines einzelnen Slots (also der 
Zielfunktion) gedacht. Die Syntax soll- 
te nach der Einführung in Boost.Func- 
tion zu Beginn dieses Artikels klar sein. 

Das zweite Signal ist für die gleich- 
zeitige Speicherung verschiedener Slots 
gedacht. Beim Aufruf dieses Signals 
stellt sich die Frage, wie man die Rück- 
gabewerte der Slots verwenden soll. Oh- 
ne weitere Festlegung ist das der Rück- 
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gabewert des zuletzt aufgerufenen Slots. 
Wer will, kann über einen weiteren 
Template-Parameter im Signal gerAll- 
Times selbst festlegen, wie die Rückga- 
bewerte zu verwenden sind. Im vorlie- 
genden Fall sollen alle Rückgabewerte 
(es handelt sich ja um Strings) in einem 
vector<string> gespeichert werden. 

Die Implementierung von aggregate 
_values<> ist der Dokumentation zu 
Boost.Signals entlehnt und soll hier 
nicht weiter besprochen werden. Inter- 
essenten finden weitere Informationen 
auf der Boost-Website [g]. Hier geht es 
jetzt mit der main()-Funktion des Sig- 
nal-Beispiels weiter (Listing 9). 

Zunächst erfolgt die Instanziierung 
der Objekte der Signal- und Slot-Klas- 
sen. Der Aufruf connect() des Signals 
verbindet Signal und Slot. Im ersten Fall 
ist dies einfach, da total_time_server 
.:operator() keine Argumente erwartet. 
Das Signal gerTime des time_retriever- 
Objekts kann man nun wie eine norma- 
le Memberfunktion aufrufen. 

Der Aufruf von disconnect() trennt 
die Verbindung zwischen Signal und 
Slot wieder. Stattdessen wird der rime_ 
difference_server mit dem gerTime-Sig- 
nal verbunden. Da der rime_difference 
_server::operator() ein Argument er- 
wartet (den Offset für die Berechnung 
der Zeitspanne), muss erneut boost:: 
bind aushelfen. Das Vorgehen sollte klar 
sein: boost::bind erzeugt selbst wieder 
ein Funktionsobjekt, das rime_difference 
_server::operator() mit dem passenden 
Argument aufruft. Was nicht passt, wird 
passend gemacht. 

Nach dem erneuten Trennen der Ver- 
bindung überprüft der connection::con- 
nected()-Aufruf, ob noch eine Verbin- 
dung existiert. Nach demselben Muster 
werden beide Slots gleichzeitig mit dem 
time_retriever::getAllTimes-Signal ver- 
bunden. Wie gehabt ist die Aktivierung 
des Signals identisch mit einem norma- 
len Funktionsaufruf. Anders als zu Be- 
ginn ist das Ergebnis aber die Ausfüh- 
rung beider Funktionsobjekte. Dank 
aggregate_values ist das Resultat bei- 
der Aufrufe in einem vector<string> 


gespeichert. Dessen Inhalt wird zur 
Kontrolle ausgeben. Die Ausgabe von 
Listing 9 sieht etwa aus wie folgt: 
2007-Nov.09 02:35:50 

60074:35:50 

Connection terminated! 

60074:35:50 2007-Nov-09 02:35:50 

Hier ist zunächst der separate Aufruf 
beider Slots ersichtlich, gefolgt von der 
Trennung der Verbindung. Es folgt der 
(fast) gleichzeitige Aufruf beider Slots 
über getAllTimes(). Auch hier lässt sich 
Boost.Signals intutitiv verwenden. 


Ausblick 


Neben all dem Lob der Bibliothek soll 
ein Problem nicht verschwiegen werden. 
Viele Klassen und Funktionen sind auf 
Templates aufgebaut, die tief ineinander 
verschachtelt sind. Selbst kleine Fehler 
führen so zu Meldungen, für deren 
Interpretation Erfahrung hilfreich ist. Oft 
erstreckt sich eine Meldung über mehre- 
re Zeilen, und von diesen Fehlermeldun- 
gen kann es Hunderte auf einmal geben. 
Ähnliches gilt für die Fehlersuche — 
Template-Klassen geben sich alles an- 
dere als zugänglich in einem Debugger. 

Allerdings ist dies kein spezifisches 
Boost-Problem, sondern dasselbe gilt für 
die STL. Manche Boost-Bibliotheken 
versuchen jedoch, durch kleine „Fallen“ 
Fehler bereits zur Übersetzungszeit zu 
identifizieren. Und das führt zu mehr 
Meldungen der genannten Art. 

Der dritte Teil des Boost-Tutorials 
wird einen Schwerpunkt auf die Seriali- 
sierung von Objekten und auf die Netz- 
werkkommunikation legen. Boost stellt 
hierfür Funktionen zur Verfügung, die 
man in der C-Famile sonst nur von Spra- 
chen wie Java und C# kennt. (ka) 


DR. RÜDIGER BERLICH 


führt am Institut für Wissenschaftliches 
Rechnen des Karlsruhe Institute of 
Technology [KIT] eine Ausgründung aus 
dem Bereich der Parameteroptimierung 
in verteilten Umgebungen durch. 


a] Boost-Homepage 

b] Dokumentation zu shared_ptr 

c] MersenneTwister.h von Richard J. Wagner 
d] Bill Kempf; The Boost.Threads Library 

e] C++ Multithreading Tutorial 

fl threadpoolBibliothek 

g] Dokumentation zu Boost.Signals 

h] asio-Bibliothek 


www.boost.org 
www.boost.org/libs/smart_ptr/shared_ptr.htm 
www-personal.umich.edu/"wagnerr/MersenneTwister.h 
www.ddj.com/cpp/ 184401518 
paulbridger.net/multithreading_tutorial 
threadpool.sf.net 
www.boost.org/doc/html/signals.html 
asio.sourceforge.net 
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Tools und Tipps 


Komprimieren und Tunnel bauen mit ssh 


Vielseitig 


Susanne Nolte 


Verschlüsseln, authentifizieren, 


komprimieren - mit solchen Fähigkeiten 
ausgestattet ist die SSH mehr als nur eine 


sichere Remote-Shell. 


ie Secure Shell oder ssh gehört 
D schon seit Längerem zum Stan- 

dardwerkzeug für das Arbeiten 
auf entfernten Rechnern. Doch ihre 
Fähigkeiten gehen wesentlich weiter: 
Zum einen beschränken sich ihre Tun- 
nelfähigkeiten nicht auf X11-Sessions, 
zum anderen kann sie den Netzverkehr 
auf das Wesentliche reduzieren. 

Denn mit der Option -C auf die Rei- 
se geschickt, komprimiert die SSH alle 
Daten mit dem gzip-Algorithmus. Aller- 
dings sollte man hier auf die Ressourcen 
achten: Während die SSH-Kompression 
den Verkehr auf langsamen Verbindun- 
gen massiv beschleunigen kann — vor 
allem, wenn sie Grafikdaten überträgt -, 
kann das in schnellen Netzen das 
Gegenteil bewirken, wenn nämlich die 
CPUs als Bottleneck sich erweisen. 

Ebenfalls lohnen kann sich das 
Komprimieren beim Kopieren ganzer 
Verzeichnisbäume - einfach per Pipe 
durch die SSH geschickt etwa mit tar 
cf- <localdir> | ssh -C <remotehost> 
„cd <remotedir> && tar xpf-". 

Einige Dämonen wie fetchmail oder 
exim besitzen SSH-Plug-ins, mit denen 
sich die Verbindung verschlüsseln 
lässt. rsync arbeitet inzwischen stan- 
dardmäßig mit einem SSH-Tunnel. 
Versionen, die das nicht tun, sollten 
sich mit der Option -e ssh oder -—rsh= 
ssh zum Pipen durch einen SSH-Tun- 
nel bewegen lassen. 

Eine Alternative zur Pipe bietet das 
Local Port Forwarding. Dafür etabliert 
man einen Tunnel zwischen einem freien 
lokalen Port und dem entfernten Zielport 
nach dem Muster ssh -L <localport>: 
<targethost>:<targetport> <user>@ 
<authhost>. Um etwa eine Web-Ses- 
sion, die nicht über HTTPS angeboten 
wird, zu verschlüsseln, genügt der Be- 
fehl ssh -—L 6080:<webserver>:80 
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<user>@<sshserver> in einem Termi- 
nal, danach lädt man mit dem Browser 
http://localhost:6080. Das Gleiche gilt 
für ungesicherte IMAP-, POP3-, SMTP- 
oder VNC-Sessions: Nach dem Etablie- 
ren des Tunnels ist in der Client-Soft- 
ware lediglich localhost samt gewähltem 
Port als Server einzutragen. Dabei müs- 
sen Anwendungs- und SSH-Server nicht 
auf einem Rechner liegen. Auf diese 
Weise lässt sich ein Teilstück einer Stre- 
cke verschlüsseln, etwa der zwischen 
zwei Gateways. Damit auch andere 
Rechner den Tunnel benutzen können, 
müssen sie Zugriffsrecht auf local- 
host:6080 besitzen. Das bewirkt die Op- 
tion —g beim Einrichten des Tunnels. 


In alle Richtungen 


In die andere Richtung funktioniert das 
Remote Port Forwarding: Dort gibt man 
auf dem Gateway gate, der vor dem ei- 
genen Intranet-Webserver sitzt, mit ssh 
-R 6080:<intranetweb>:80 <remote- 
gate> den Intranet-Webserver als Ziel- 
Host an, aber den entfernten Gateway 
— etwa den einer Zweigstelle — als 
SSH-Server. Der lauscht dann auf Port 
6080 auf Anfragen, die er an den SSH- 
Client auf gate weiterleitet, der sie 
wiederum an Port 80 des Intranet-Web- 
servers weiterreicht. Damit nun alle 
Browser hinter dem Remote-Gateway 
auf den Intranet-Server zugreifen kön- 
nen, muss sich in der Datei /etc/ssh/ 
sshd_config auf remotegate die Zeile 
GatewayPorts yes befinden. 

Hat man es mit mehreren hinterein- 
anderliegenden Firewalls zu tun, kann 
man die Reichweite der SSH-Tunnel da- 
durch erhöhen, dass man mehrere inein- 
ander verschachtelt — jeder weitere er- 
höht die Reichweite um zwei Hops. 


Dazu ist es notwendig, den Ziel-Port der 
äußeren Tunnel auf den zuvor geschaf- 
fenen Einstiegspunkt der inneren mit der 
Option -p umzulenken. Als Beispiel 
dienen zwei Tunnnel, an denen insge- 
samt sechs Rechner beteiligt sind. Zu- 
erst etabliert man die Weiterleitung zwi- 
schen host2 und host5, indem man auf 
host3 den Befehl ssh -gL 2222:host3:22 
host4 absetzt. Danach benutzt man für 
das ssh-Kommando auf host2 den neuen 
ssh-Tunnel-Port 2222 auf host3 für den 
Zugriff auf den sshd auf host5 mit ssh -p 
2222 -gL 7080:host6:80 host3. Nun 
wird der Web-Client host] beim Zugriff 
auf host2:6080 auf den Webserver auf 
host6 weitergeleitet. 

Für Verbindungen zu Remote-Hosts, 
die man des Öfteren heimsucht, lohnt 
sich das Einrichten von Session-Konfi- 
gurationen in der Datei -/.ssh/config. 
Dort trägt man für jede Session (Host) 
den gewünschte Remote-Host, den zu 
verwendenden Benutzernamen und 
weitere Argumente ein, wie SSH-Ver- 
sion, X11-Enabling oder einen anderen 
SSH-Port. Auch die Einstellung zur 
Kompression ist dort gut aufgehoben. 
Host ixhost 

HostName ixhost.heise.de 

User susanne 

Protocol 2 # Verhindert Fallback auf Version 1 
ForwardX11 yes 


Port 2222 # Spricht remote-sshd auf Port 2222 an 
Compression yes 


Für ein passwortloses Anmelden sattelt 
man auf die Authentifizierung per RSA- 
oder DSA-Schlüssel um. Die Schlüssel- 
paare erzeugt der Befehl ssh-keygen —t 
[rsaldsa] mit oder ohne Passphrase und 
hinterlegt sie standardmäßig in »/.ssh/id_ 
[rsaldsa] und -/.sshlid_[rsaldsa].pub. 
ssh-copy-id -i -/.sshlid_[rsaldsa].pub 
<remote-host> kopiert die öffentlichen 
Schlüssel auf die Remote-Hosts und 
hängt sie dort jeweils an die Datei 
»/.sshlauthorized_keys an. Sollte ssh-co 
py-id nicht vorhanden sein, bildet das 
Kommando car -/.ssh/* pub I ssh <re- 
mote-host> 'cat >> .ssh/authorized_ 
keys' eine annehmbare Alternative. 

Hat man die Schlüssel mit Pass- 
phrase erzeugt, müsste man nun bei 
jedem Login die Passphrase angeben. 
Diese Arbeit kann man dem ssh-agent 
überlassen. Er speichert die bei der lo- 
kalen Anmeldung einmal eingegebene 
Passphrase in einem gesonderten Cache. 
Zur Anmeldung starten kann man ihn 
beispielsweise durch einen Eintrag 
wie test "$SSH_AUTH_SOCK" Il exec 
ssh-agent $SHELL -c "ssh-add; exec 
$SHELL -login" etwa in der Datei 
»/.profile. (sun) A 
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Internet-Infos 


Der Traum vom Fliegen 


Schwerelos 


Kai König 


Konnten die Menschen im Altertum 
nur davon träumen, sich wie Vögel und 


Insekten in der Luft zu tummeln, ist das 
Fliegen heute eine Selbstverständlichkeit und behördlich 


überwacht. 


der Luftfahrt fördert Interessantes 

zutage. Eine der frühesten Erwäh- 
nungen des Traums vom Fliegen findet 
sich in einer Legende über den chinesi- 
schen Kaisers Shun (2258-2208 v. Chr.), 
in der eben dieser Kaiser lernte, wie 
ein Vogel zu fliegen, um aus einer Ge- 
fangenschaft zu entkommen (www. 
luftrettung-hamburg.de/html/pioniere. 
html#Der%20Ochinesische%20Kaiser% 
20Shun) — berichtet auf den Webseiten 
der Luftrettung Hamburg. Neben vielen 
aktuellen Informationen zur Luftrettung 
und deren Geschichte bietet dieses Web- 
angebot eine aus vier Teilen bestehende 
Übersicht über die Geschichte des 
Fliegens (www .luftrettung-hamburg. 
de/html/geschichte_des_fliegens.htm]). 

Nachdem man im Mittelalter die Fä- 
higkeit des Fliegens mit mystischen Be- 
gebenheiten assoziierte und Personen, 
denen diese Begabung nachgesagt wur- 
den, oftmals auf dem Scheiterhaufen 
endeten, brachte die Renaissance die 
ersten wissenschaftlichen und methodi- 
schen Annäherungen an das Fliegen. 
Hier sind vor allem Leonardo da Vincis 
Entwürfe verschiedener Fluggeräte zu 
nennen (Irh10 .fh-bielefeld.de/Projekte/ 
Leonardo/start/modelle.htm), speziell 
der Fallschirm, die Luftschraube so- 
wie der Gleiter. 

Die ersten flugfähigen Modelle ent- 
standen gegen Ende des achtzehnten 
Jahrhunderts und wurden im neunzehn- 
ten durch Fluggeräte abgelöst, die auf 
den Prinzipien der Aerodynamik ba- 
sierten und Gleitflug ermöglichten. Pio- 
niere dieser Epoche sind Otto Lilien- 
thal und George Cayley. Den ersten 
belegbar motorisierten und gesteuerten 
Flug führten die Gebrüder Wright im 
Dezember 1903 durch und läuteten da- 


E ine kurze Recherche zur Geschichte 
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mit das Zeitalter der modernen Luftfahrt 
ein (de.wikipedia.org/wiki/Gebr%C3% 
BCder_Wright). 

Warum heutzutage tonnenschwere 
Flugzeuge überhaupt abheben können, 
erklärt www..erklaert.de/warum/fliegen. 
htm anschaulich und erläutert die Kon- 
zepte von Auftrieb, Strömung, Steue- 
rung und Navigation von Flugzeugen. 
Eine weitere empfehlenswerte Samm- 
lung von Informationen zu diesem The- 
ma findet sich im Wissensportal des 
SWRs (www .wissen.swr.de/warum/flie 
gen/themenseiten/t_index/s1.htm!). 

Im Laufe der knapp mehr als hun- 
dert Jahre seit dem ersten motorisierten 
und gesteuerten Flug ist die Welt der 
Fliegerei natürlich nicht stehen geblie- 
ben. So hat sich im Bereich der zivilen 
Luftfahrt neben der kommerziellen 
Passagier-, Fracht- oder Postbeförde- 
rung eine lebendige und aktive Ge- 
meinschaft von Hobbyfliegern eta- 
bliert. Da auch der Luftraum immer 
geschäftiger und verstopfter wird, hat 
man die zivile Luftfahrt vielen Rege- 
lungen unterworfen. 


Luftige Standards 


Eine der zentralen Organisationen im 
Bereich der Zivilluftfahrt ist die Inter- 
national Civil Aviation Organization 
(ICAO), eine Unterorganisation der 
Vereinten Nationen (www .icao.int). Ei- 
ne ihrer Hauptaufgaben ist Standardisie- 
rung und Sicherheit im internationalen 
Flugverkehr. Dazu gehören unter ande- 
rem Fragen der Lizenzierung von Ka- 
binenpersonal und Piloten im Rahmen 
der internationalen Flugabwicklung. 
Daneben hat nahezu jedes Land lo- 
kale Luftfahrtbehörden, die für die 


praktische Umsetzung der zahlreichen 
internationalen Vorgaben sorgen. In 
Deutschland übernimmt diese Rolle das 
Luftfahrt-Bundesamt (www .lba.de/cin_ 
010/DE/Home/homepage__node.html_ 
_nnn=true). Das LBA ist wiederum 
Teil der Joint Aviation Authorities 
(JAA, www jaa.nl), einem Zusammen- 
schluss von 34 nationalen Luftfahrtbe- 
hörden in Europa. Andere bekannte 
Luftfahrtbehörden sind die Federal Avi- 
ation Administration (FAA) in den USA 
sowie die CAA in Großbritannien und 
vielen anderen Commonwealth-Staaten 
wie Australien und Neuseeland. 

Um den Bogen zurück zum Traum 
vom Fliegen zu spannen, soll es im 
Weiteren darum gehen, was ein am 
Fliegen Interessierter tun muss, um ei- 
nen der begehrten „Führerscheine fürs 
Flugzeug“ zu ergattern. 

Portale wie flugschule24.de oder 
flugschule-online.de bieten einen regio- 
nal sortierten Überblick über Flugschu- 
len in Deutschland, Österreich und der 
Schweiz, dabei findet man sowohl kom- 
merzielle als auch Trainingsanbieter, die 
an Aero Clubs angegliedert sind. 

Wer Fliegen nur als Hobby ausüben 
möchte, sollte sich an der sogenannten 
Privatpiloten-Lizenz orientieren, auch 
mit PPL abgekürzt. Mit dem Erwerb 
dieser Lizenz darf man in der Regel pri- 
vate Flüge durchführen, dafür allerdings 
kein Geld verlangen. Je nach landes- 
beziehungsweise *AA-spezifischen Be- 
stimmungen ist es aber möglich, die 
anfallenden Kosten (Treibstoff, Flug- 
zeugmiete et cetera) auf Piloten und 
Mitflieger umzulegen - frei nach dem 
Prinzip der Kostenbeteiligung. 


Die etwas andere GPL 


In Deutschland gibt es neben der PPL A 
(www .ppl-a.com) für Flugzeuge die Li- 
zenztypen PPL H und PPL D für Hub- 
schrauber und Ballon. Segelflieger 
(GPL) und Piloten von Ultraleichtflie- 
gern (SPL) haben ebenfalls ihre eigenen 
Lizenzen und Ausbildungsprogramme. 
Wer die Fliegerei kommerziell betreiben 
möchte, oder gar den Berufswunsch 
Flugzeugführer bei einer der großen Pas- 
sagier-Airlines hat, muss deutlich hö- 
here Hürden in Form der Commercial 
Pilot License (CPL) oder Airline Trans- 
port Pilot License (ATPL) meistern. 
Einen ausführlichen und für Einsteiger 
in die Materie geeigneten Überblick 
über die verschiedenen Lizenztypen 
sowie Trainingsinhalte und Kosten 
bietet die Webseite des Air Alliance 


iX 1/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Flight Centers am Airport Siegerland 
(www .air-alliance.de/fc/index.php). 

Hat man endlich die begehrte Lizenz, 
eine Maschine gechartert und diese in 
der Luft, gilt es, das Flugziel zu bestim- 
men - in der Realität sollte der Pilot die- 
se Frage natürlich bereits im Rahmen 
der Flugplanung am Boden beantwortet 
haben. Dazu bedarf es Kenntnissen in 
Navigation, dem Lesen und Verstehen 
von Flugkarten sowie der Fähigkeit, 
per Funk mit Tower, Bodenkontrolle 
und Luftraumüberwachung zu kommu- 
nizieren (www .tf.uni-kiel.de/-fp/fliege 
rei/ausbildung/sprechfunk/sprechfunkl. 
html). Einen Eindruck in die komplexe 
Materie von Flugkarten bietet die Seite 
www.airports.de, die freie Übersichts- 
karten mit Runway-Layouts und Cir- 
cuit-Mustern bereitstellt. 

Ein beispielhafter, genauerer Blick 
auf den Flugplatz Ober-Mörlen (ein 
kleines Dörfchen in Mittelhessen und 
der Geburtsort des Autors) mit der inter- 
nationalen Airport-Kennung EDFP 
(www .airports.de/airport/airport, flug 
hafen,_flugplatz/germany/hessen/ober 
-moeerlen_-_flugplatz/details.html) lie- 
fert detaillierte Informationen zu Di- 


mension, Ausrichtung und Beschaffen- 
heit der Landebahn sowie eine Über- 
sichtskarte des Circuit-Musters (oftmals 
mit dem Begriff „Platzrunde‘ beschrie- 
ben). Schaut man sich ein wenig mehr 
auf airport.de um, fallen die im Ver- 
gleich zu EDFP geschäftig wirkenden 
Karten internationaler Flughäfen wie 
Frankfurt oder Düsseldorf ins Auge. Al- 
le Karten auf dieser Seite sind jedoch als 
grobe Orientierung zu verstehen und 
nicht für die aktuelle Anflugnavigation 
geeignet, hierfür sollten Piloten immer 
die aktuelle Version des offiziellen 
Kartenmaterials zur Verfügung haben. 

Eine etwas andere Art, das Fliegen zu 
erlernen, bietet das Gymnasium Laucha 
in Sachsen-Anhalt (www.gymnasium- 
laucha.de/?id=104255000032). Diese 
Schule hat einen Schwerpunkt auf Luft- 
sport sowie Luft- und Raumfahrt, und 
Schüler können dort das schuleigene Se- 
gelflugzeug nutzen, in verschiedenen 
AGs mitarbeiten sowie neben dem 
Unterricht eine Privatpilotenlizenz er- 
werben. Theorie und Praxis des Luft- 
sports und des Fliegens sind in Wahl- 
pflichtkurse in den Jahrgangsstufen 7 bis 
12 in den Unterricht eingebunden. (ka) 


Vor 10 Jahren: Im kleinen Kreis 


Videokonferenzen könnten Märkte zu Telegesprächen machen. Und ein 
Marktsegment bilden, in dem wirklich noch Geld verdient wird. 


Zum Jahresanfang 1998 gründeten Ernst 
Malmsten und Kajsa Leander in London 
die Firma Boo.com, ein Internet-Mode- 
haus. Die Geschäftsidee war etwas va- 
ge: Die Boo-Nutzerin sollte Klamotten 
auf einem Online-Püppchen (Avatar) 
ausprobieren und danach bei „Miss 
Boo“ das bestellen, was ihr am besten 
gefällt. Boo.com wurde mit der Grün- 
dung im Januar 1998 zum Superstar der 
Internet-Geschäftswelt ausgerufen — und 
war später die erste Firma, die in der 
„Dotcom-Blase‘“ spektakulär platzte. 
Von den Möglichkeiten des Internets 
berauscht, formulierte man Thesen wie 
„Märkte sind Gespräche“, die später so- 
gar als Manifest die Runde machten. 
Doch wer Modepüppchen anziehen, 
wer miteinander über das Netz ins Ge- 
spräch kommen will, braucht gute Ver- 
bindungen und jede Menge Software. 
Was mit Videosystemen wirklich mög- 
lich ist, stellte iX in Heft 1/1998 vor, das 
Software wie Hardware von Videokon- 
ferenzen unter die Lupe nahm. Unter 
dem arbeitswissenschaftlichen Begriff 
CSCW (Computer Supported Co-opera- 
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tive Work) wurden realistische Anwen- 
dungen vorgeführt. Dabei setzte man 
nicht einfach auf „das Internet“, son- 
dern auf fortschrittliche Varianten wie 
MBone (IP Multicast Backbone) und 
das Breitband-Forschungsnetz B-WIN: 
Videokonferenzen, in denen ernsthaft 
gearbeitet wurde, waren etwas anderes 
als das aufkommende Instant Messaging 
mit Bildchen von der Webcam. 

iX analysierte ein Beispiel aus der 
Praxis, bei dem Kapitän, Hafenmeister, 
Versicherungsagenten und Reeder eines 
havarierten Schiffes über eine ATM- 
Verbindung zwischen Antwerpen und 
Bremen darüber debattierten, ob das 
Schiff noch den nächsten Hafen anlau- 
fen kann. Die aufwendige Videokonfe- 
renz, komplett mit der Einspielung von 
Videoaufnahmen vom Unfall und der 
gemeinsamen Arbeit an einer Riss- 
Zeichnung des Schiffes in einem White- 
board-Tool, wurde wissenschaftlich wie 
ökonomisch ausgewertet. 18 000 DM 
kostete allein die ATM-Leitung der drei- 
stündigen Konferenz, denen 20000 DM 
Liegegebühren für das beschädigte 


Schiff und 30000 DM 
Reisekosten für die 
diversen Sach- 
verständigen 
gegenüber- 
standen. Fazit: 
Videokonferenzen 
rechnen sich, schonen 
Geldbeutel und Umwelt. 
Sie sind aber nur sinnvoll, wenn die 
Technik einwandfrei funktioniert und 
alle Beteiligten „Entscheider“ sind, die 
nicht erst ein Okay von Vorgesetzten 
einholen müssen. 

Auch heute sind Videokonferenzen 
nicht billig. „Telepresence“, ein System, 
das T-Systems in Kooperation mit Cisco 
vermarktet (s. S. 113), kommt für sechs 
Personen auf 300 000 €, zuzüglich Kos- 
ten für eine Standleitung mit mindestens 
15,5 MBit/s. Wer an den halbrunden 
Tischen von „Telepresence“ sitzt, fühlt 
sich an die „privaten Fernsehstudios“ er- 
innert, die Firmen wie Daimler oder Sie- 
mens bis in die 9Der-Jahre unterhielten. 
Telepresence wird aber nicht von Kon- 
zernen eingesetzt, sondern vor allem von 
mittelständischen Unternehmen. Sie 
wollen nicht länger Mitarbeiter auf zu- 
nehmend umständlicher werdende Flug- 
reisen schicken. Märkte sind Gespräche, 
aber nur, wenn man nicht von der Tech- 
nik behindert wird. Detlef Borchers 
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Buchmarkt 


N icht zuletzt dank der Tatsa- 
che, dass viele preiswerte 
Angebote von Internet-Service- 
Providern heutzutage die Benut- 
zung einer Datenbank beinhal- 


ten, können und müssen sich die 
Webverantwortlichen in den Umgang 
mit Tabellen und SQL einarbeiten, um 
den Besuchern der eigenen Website die 
richtigen Daten anbieten zu können. 

Dass solche dynamischen Webseiten, 
die bei jedem Aufruf aktuelle Daten 
beim Server erfragen, außerdem eine 
Skriptsprache erfordern, in der die 
Datenbankanfra- 
gen formuliert 
sind, kommt er- 
schwerend hin- 
zu (soll aber hier 
unberücksichtigt 
bleiben). 

SQL, die Struc- 
tured Query Lang- 
uage, erweist sich 
schnell als eine ver- 
gleichsweise leicht 
erlernbare Sprache, 
denn der Sprach- 
schatz hält sich in en- 
gen Grenzen. Aller- 
dings unterscheiden 
sich die Datenbanksys- 
teme hinsichtlich ihrer SQL-Implemen- 
tierung, sodass nicht gewährleistet ist, 
dass in MySQL korrektes SQL in Ora- 
cle und anderen Systemen ebenfalls 
richtig ist. 

Marcus Throll und Oliver Bartosch 
haben aus diesem Grund ihrem bei Gali- 
leo veröffentlichten „Einstieg in SQL“ 
eine Gegenüberstellung der Syntax für 
eine Reihe von Datenbanksystemen bei- 
gegeben. Das Buch richten die Autoren 
an Einsteiger wie Erfahrene, 

Letztere können gelegentlich 


Datenbanken 


liegt sicherlich daran, dass dieser Band 
Bestandteil der gleichnamigen Buchrei- 
he (ohne „SQL“) ist, die durchweg mit 
einer Mischung aus Comic, Fotos, 
gleichsam Handschriftlichem, Text et 
cetera versucht, das Hirn des Lesenden 
aus der Reserve zu locken. Wer zum ers- 
ten Mal eins der Bücher aufschlägt, 
dürfte das Layout und die Aufbe- 
reitung des Inhalts gewöhnungs- 
bedürftig finden, aber eine ab- 
wechslungsreiche Einführung 
kommt dabei meist heraus. Von 
der Schwierigkeit her reicht der 
Band bis zu den unterschied- 


BP \ lichen jJoins und Trans- 


aktionen. Die deutsche 
Übersetzung „SQL von 
Kopf bis Fuß“ er- 
scheint Anfang 2008. 
Im Rahmen einer 
Sonderaktion „3 für 
2°“ (www.oreilly. 

de/3fuer2) können 

Vielleser dies 
Werk bis zum Frühjahr billiger 
bekommen, wenn sie genug 
Interesse an so vielen Bänden 
haben. 

Im selben Verlag erschie- 
nen ist Andrew Cummings und Gor- 
don Russells „SQL Hacks“ (hinter 
„Hacks“ steckt wiederum eine Buchrei- 
he), das die Verlagswebsite für 2006 an- 
kündigt, während der Band selbst das 
Ende 2007 vorgibt (richtig, heißt es, ist 
das ältere Datum). Anders als die bei- 
den vorgenannten Einführungen dürfte 


diese Einhundert-Tipp-Samm- 

lung Bonbons für erfahrene 

SQLer enthalten. Und um gleich 

bei O’Reilly zu bleiben: Des 

RDBMS-Gurus C. J. Date knap- 
pe Darstellung relationaler Datenbanken 
liegt jetzt in deutscher Sprache vor - in 
Vokabelheftgröße, mithin definitiv ur- 
laubsgeeignet. 

Zu einzelnen Datenbanksystemen ha- 
ben diverse Verlage Bücher im Pro- 
gramm, manche gleich Serien. So hat 
Addison-Wesley 2007 Buck Woodys 
„Administrator’s Guide to SQL Server 
2005“ unter dem Titel „SQL Server 
2005“ veröffentlicht — mit einer 180-Ta- 
ge-Testversion der deutschen Enter- 
prise-Edition. Zwar steht die 2008er 
Version schon fast vor der Tür, aber 
konservative DBAs dürften noch eine 
Weile mit der jetzt vorhandenen Release 
arbeiten wollen (bis Service 
Pack X). Hier 

geht es natur- 
gemäß haupt- 
sächlich um 
die Architektur 
des konkreten 
DBMS-Servers, 
wie er zu instal- 
lieren und zu 
warten ist, wie 
man ihn optimiert 
et cetera. Nichts 
für Einsteiger. 

Als kompakten 
Einstieg hat die Bon- 
ner Redline-Tochter mitp Stefan Heitsieks 
ebenfalls konkretes „Oracle Express Edi- 
tion“ bezeichnet. Gegen die gut 650 Sei- 
ten SQL Server kommen Heitsieks 440 
geradezu schmal daher. Sie eignen sich für 
all diejenigen, die die kostenlose Oracle- 

Version ausprobieren und sich 
weiterbilden wollen. Logischer- 


auf einführende Passagen ver- 
zichten. Am Anfang steht der 
DB-Entwurf (bis zur fünf- 
ten Normalform und zum En- 
tity Relationship Model) in 
gebotener Kürze. Es folgt ein 
Kapitel zur Tabellendefinition, 
bevor es an insert, select et ce- 
tera geht. Für Erfahrene be- 
handeln Throll und Bartosch 
weiterreichende Themen wie 
Transaktionen oder grant und 
revoke. Der CD-ROM haben 
die Autoren eine selbstentwi- 
ckelte Lernsoftware beigelegt 
(nur für Windows). 

Lynn Beighleys „Head First 
SQL“ kommt ohne theoreti- 
sches Vorabkapitel aus. Das 
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Lynn Beighley; Head First SQL; Sebastopol, CA (O’Reilly Media) 2007; 
571 Seiten; € 43,00 (Paperback) - Anfang 2008 erscheint die deutsche 
Ausgabe: SQL von Kopf bis Fuß; übersetzt von Lars Schulten; 

€ 49,95 (Paperback) 


Andrew Cumming, Gordon Russel; SQL Hacks; 
Tips & Tools for Digging into Your Data; Sebastopol, CA (O'Reilly Media) 
2007; 386 Seiten; € 29,00 (Paperback) 


C. J. Date; Fachwörterbuch Relational Datenbank; Köln (O'Reilly) 
2007; 118 Seiten; übersetzt von Dorothea Heymann-Reder; € 9,90 
(Paperback) 


Stefan Heitsiek; Oracle express Edition; Heidelberg (mitp/Redline) 
2007; 2., aktualisierte und erweiterte Auflage; 412 Seiten zzgl. CD-ROM; 
€ 34,95 (Paperback) 


Thomas Krumbein; Datenbanken mit OpenOffice.org 2.3; 
Bonn (Galileo Computing) 2007; 547 Seiten zzgl. DVD; € 39,90 (gebunden) 


Marcus Throll, Oliver Bartosch; Einstieg in SQL; Verstehen, einsetzen, 
nachschlagen; Bonn (Galileo Computing) 2007; 2., und aktualisierte 
erweiterte Auflage; 291 Seiten zzgl. CD-ROM; € 24,90 (gebunden) 
Buck Woody; SQL Server 2005; Das Handbuch für Administratoren; 
München (Addison-Wesley] 2007; 662 Seiten zzgl. DVD; übersetzt von 
G&U; € 49,95 (gebunden) 


weise handelt es sich nicht nur 
um eine SQL-Einführung (circa 
20 Seiten). 

In seiner Buchreihe von 
OpenOffice-Bänden hat Galileo 
Computing jetzt die zweite 
Auflage von Thomas Krum- 
beins „Datenbanken mit Open- 
Office.org 2.3“ zum Modul 
Base und dem Datenbanksys- 
tem HSQLDB der freien Soft- 
ware veröffentlicht. Die Einfüh- 
rung, zu der der gesondert zu 
installierende Report Designer 
gehört, sollte Datenbankneu- 
lingen den Einstieg erleichtern 
— unterstützt durch eine Video- 
schulung auf der DVD. 

Henning Behme 
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Rezensionen 


LINUX 
HARDWARE 


Z: den wichtigen Eigen- 
schaften von Linux zählen 


Flexibilität, Stabilität, Ge- 
schwindigkeit, sparsamer Um- 
gang mit Systemressourcen, 
offene Quelltexte und eine 
große Community. Gründe 
genug dafür, dass Linux inzwi- 
schen nicht nur als Desktop- 
und Serverbetriebssystem ver- 
wendet, sondern immer häufi- 
ger für eingebettete Systeme 
eingesetzt wird. Dabei gelten 


Jürgen Plate 


Linux Hardware 
Hackz 


Messen, Steuern und 
Sensorik mit Linux 


München, Wien 2007 
Carl Hanser 

462 Seiten 

39,90 € 

ISBN 978-3-446-40783-1 


solche Systeme seit jeher als 
anspruchsvoll. Doch nicht aller 
Anfang muss schwer sein, wie 
das vorliegende Buch zeigt. 
Profitieren dürften von die- 
sem Band vor allem Entwickler 
eingebetteter Systemen sowie 
Studenten und Technikbegeis- 
terte aus den Fachbereichen 
Elektrotechnik und Informatik. 
Es enthält alles Wissenswerte 
für den Einstieg in die Welt 
des Messens, Steuerns und Re- 


gelns, wie folgender Themenab- 
riss zeigt: Nach einer knappen 
Einführung stellt Plate exem- 
plarisch eine eigene abge- 
speckte Linux-Distribution 
zusammen, die als Basis für 
weitere Experimente dienen 
kann. Eine Einführung in die 
Systemprogrammierung unter 
Linux folgt. In den nächsten 
Kapiteln geht der Autor Stück 
für Stück auf die Arbeit mit den 
Standard-PC-Schnittstellen (Pa- 
rallelport, RS232, Gameport, 
USB) ein und erläutert die 
verschiedenen Chip-Schnitt- 
stellen SPI, PC und 1-Wire. 
Danach beschreibt er die digita- 
le Ein- und Ausgabe mit Tas- 
tern, Schaltern, Optokopplern, 
Relais, Verstärkerschaltungen 
et cetera. Es folgen Kapitel 
über Sensoren, Motorsteue- 
rung, Anzeigen und Display 
und Fernsteuerung über Infrarot, 
Funk und Handy. Zudem finden 
sich umfangreiche Exkurse zur 
Analog-Digital-Wandlung, zur 


Messung elektrischer Größen 
und zur Datenauswertung. 

Sprache, Layout und (ein- 
farbige) Bebilderung tragen 
zum Lesevergnügen bei. 
Neben Codebeispielen finden 
sich zahlreiche Schaltungs- 
entwürfe im Buch, die von 
der Website als Eagle-Da- 
teien heruntergeladen werden 
können. Mit diesen Dateien 
kann man die vorhandenen 
Schaltungen nach eigenen 
Wünschen verändern. Zusätz- 
lich enthält die Website 
weiterführende Dokumente 
und ein Extra-Kapitel zum 
Download. 

Alles in allem bereitet das 
Buch viel Spaß und lädt ein, 
sich mit der Materie ausein- 
anderzusetzen. Allerdings soll- 
ten Leser gehörige Elektronik- 
Grundkenntnisse mitbringen 
und schon den einen oder ande- 
ren Quelltext zu Gesicht be- 
kommen haben. 

FLORIAN POTSCHKA 


E:“ speziellen, in der Pra- 
xis jedoch eher vernachläs- 
sigten Frage widmet sich der 
Oracle-Experte Shallahamer: 
Kann man das Wechselspiel 
zwischen CPU-und V/O-Ver- 
halten eines Datenbanksystems 
modellhaft beschreiben und 
Vorhersagen treffen? Und wie 
lässt sich der Workload quanti- 
tativ ermitteln? Wie Shallaha- 
mer in der Einleitung schreibt, 
ist dies ein Gebiet, das selbst 
gestandene Kapazitätsplaner in 
Projekten zur Kapitulation 
zwingen kann. Das vorliegende 
dürfte zu den wenigen Oracle- 
Büchern gehören, die nicht an 
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Craig Shallahamer 


Forecasting Oracle 
Performance 


Berkeley, CA 2007 
Apress 

269 Seiten 

39,99 US-$ 

ISBN 978-1-59059-802-3 


eine bestimmte Release gebun- 
den sind. Im Grunde ist der In- 
halt nicht datenbankgebunden, 
da die Kernthemen CPU, VO 
und Workload herstellerun- 
abhängig sind. Insgesamt ist 
„Forecasting Oracle Perfor- 
mance“ unterhaltsam geschrie- 
ben, flüssig zu lesen und sämt- 
liche Beispiele orientieren sich 
an bekannten Fragestellungen 
aus der Praxis. Es „will“ kein 
Lehrbuch sein, sondern eine 
Art Trainingskurs, wie der 
Autor einleitend anmerkt. 

Im ersten Kapitel erläutert 
er, warum es wichtig ist, ein 
passendes Modell zur Be- 


schreibung zu erstellen. An- 
schließend beleuchtet er die ele- 
mentaren Vorgänge bei Transak- 
tionen anhand von Themen wie 
„Arrival Rate“, „Service Time“ 
und „Reponse Time“ näher. 
Leider kommt das Thema Da- 
tenermittlung zu kurz. Gerade 
bei der für den Leser span- 
nenden Frage, welche Daten 
im Oracle-Umfeld gesammelt 
werden sollten, um den Work- 
load zu charakterisieren, hält 
sich der Autor bedeckt. Zwar 
greift er dieses Thema in Kapi- 
tel 7 nochmals auf und erläutert 
im Text ein Shell-Script zur 
CPU-Auslastung auf Unix- 
Ebene mittels SAR, doch wel- 
che Daten konkret bei einem 
Oracle-Server gesammelt wer- 
den sollten, bleibt offen. Shal- 
lahamer belässt es bei allge- 
meinen Hinweisen, dass es 
eben bei einem Oracle-Server 
viele Parameter und Variablen 
(in V$-Views) gibt. Insgesamt 
sind die mathematischen Aus- 
führungen bewusst knapp ge- 
halten, wie der Autor immer 
wieder anmerkt. Da es sich 
meist um einfache Formeln 
handelt, verlangt er dem Leser 


kein tieferes Verständnis ab. 
So gerüstet mit einfachen 
Modellannahmen, lassen sich 
wichtige Fragestellungen er- 
staunlich gut beantworten: 
Was passiert, wenn man mehr 
CPU-Kapazität hinzufügt oder 
CPUs einsetzt, die beispiels- 
weise 20 % schneller sind. Im 
mathematisch anspruchsvolle- 
ren Kapitel 3 erläutert der 
Autor den Grundgedanken 
der „Erlang C“-Warteschlan- 
gen-Theorie. 

Wie man Daten statistisch 
mittels Regressionsanalysen 
auswertet, zeigt Kapitel 4. 
Einer Variante, der linearen 
Regression, ist ein weiteres 
Kapitel gewidmet. Viele Fall- 
beispiele anhand der Warte- 
schlangentheorie und Variation 
von Parametern zeigt das fünf- 
te Kapitel. Das siebte zum 
Thema „Characterizing the 
Workload“ schließt mit dem 
Hinweis, dass eine modellhafte 
Beschreibung großer Oracle- 
Systeme schnell an ihre Gren- 
zen stößt. Das Buch endet mit 
einem Kapitel zum Thema 
„scalability“ (Amdahl’s law). 
DR. WOLFGANG GABRIEL 
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Ar z0oson.wesuer 


itel zum Thema CSS sind 


Legion, dieser in der von 
Addison-Wesley als „Sign of 
Exellence“ beworbenen Reihe 
erschienene gehört zu den bes- 
seren (in derselben Serie ist 
Zeldmans „Webdesign mit 
Webstandards“ erschienen, 
siehe iX 4/07). Es richtet sich 
an den fortgeschrittenen Web- 
designer, daher setzt es ein 
Grundwissen über CSS und 
(X)HTML voraus. 


Andy Budd, Cameron Moll, 
Simon Collins 


CSS Mastery 


Webdesign für Fortgeschrittene 


München November 2006 
Addison-Wesley 

270 Seiten 

39,95 € 

ISBN 978-3-8273-2457-3 


Im zweiten Kapitel geht 
Andy Budd auf das Boxmo- 
dell ein; selbstredend dass er 
die Eigenheiten des IE 5.x 
und IE 6 für Windows thema- 
tisiert, da diese Browser im 
Quirks-Modus sich leider 
nicht standardkonform ver- 
halten. Es fällt in diesem Zu- 
sammenhang auf, dass die 
Screenshots fast ausnahmslos 
vom Safari unter Mac OS X 
stammen, denn der Autor 


verhehlt seine Affinität zum 
Mac nicht. Ausführlich han- 
delt er unter anderem das 
Thema Positionierung mit 
CSS ab. 

In den weiteren Kapiteln er- 
fährt der Leser, wie er Boxen 
mit abgerundeten Ecken und 
Schlagschatten für Bilder er- 
stellt, Links ansprechend for- 
matieren kann oder ansprechen- 
de Navigationsleisten erzeugt. 

Ein Kapitel widmet Budd 
dem Formatieren von Formula- 
ren und Datentabellen. Dabei 
zeigt er, wie man es nicht ma- 
chen sollte, wenn Tabellen le- 
serlich und übersichtlich sein 
sollen. Barrierefreiheit zieht 
sich wie ein roter Faden durch 
das Werk. 

Layouttechniken wie Zen- 
trieren, negative Ränder oder 
schwimmendes Layout kom- 
men ebenfalls zu ihrem Recht, 
ehe es um das wirkliche Web- 
designer-Leben geht: Hacks, 
Filter, Bugs und Fehlerbehe- 


bung. Die vorgestellten Work- 
arounds beziehen sich aber 
allesamt auf die Windows- 
Browser IE 5.x und IE 6. 
Wer Anmerkungen zum 
IE 7 erwartet, wird leider ent- 
täuscht, denn das amerikani- 
sche Original ist zu alt, als 
dass es ihn behandeln könnte, 
lediglich einige Praxisbei- 
spielen erwähnen ihn kurz. 
Die Übersetzung ist gelungen 
und lässt sich flüssig lesen, 
allerdings sieht man den Code- 
beispielen von Budd an, dass 
er sie nie ausprobiert hat. Es 
haben sich einige Tippfehler 
eingeschlichen, was der erfahre- 
ne Webdesigner aber geflis- 
sentlich überlesen kann. Die 
Koautoren Simon Collins 
und Cameron Moll werten 
mit ihren Praxisbeispielen 
das Werk auf und zeigen an- 
schaulich, wie man das in der 
Theorie vorgestellte Wissen in 
Webprojekten umsetzen kann. 
KARSTEN KISSER 
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Linux im 
Unternehmenseinsatz 


Mit der Advanced Version seiner auf 
Debian basierenden Server-Distribution 
schickt sich Xandros an, im lukrativen 
Markt für Enterprise-Linux Fuß zu fassen. 
Dabei müssen sich die Kanadier gegen die 
Platzhirsche in diesem Segment - Red Hat 
und Novell - behaupten. Ein Vergleich 
mit dem gerade freigegebenen RHEL 5.1 
sowie dem SLES 10 SP1 beleuchtet, wo 
Xandros die Nase vorn hat und wo die 
Entwickler noch nacharbeiten müssen. 


Java-Entwicklung 
per RAD 


Obwohl Java-Programmierung nicht 
gerade als einfach gilt und IDEs wie Net- 
beans und Eclipse vor allem den Neuling 
mit zahllosen Einstelloptionen überfor- 
dern, spielen Werkzeuge für das soge- 
nannte Rapid Application Development in 
diesem Sektor bislang keine große Rolle. 
Die Firma Xdev will das mit ihrem 
gleichnamigen Werkzeug ändern. Sie ver- 
spricht vollmundig „Java-Anwendungen 
in Rekordzeit“. 


Heft 2/2008 
erscheint am 17. Januar 2008 


Nach Klang 
sortierte Daten 


Self-organizing Maps sind zwar nicht 
neu, kommen aber gerade wieder in 
Mode. Die zu Beginn der Achtziger von 
Teuvo Kohonen „erfundene“ Art der Da- 
tenvisualisierung erlaubt es, mehrdimen- 
sionale Daten zu gruppieren und grafisch 
darzustellen, beispielsweise die Mozart- 
Karte, eine über den Kopf des Komponis- 
ten geblendete Insellandschaft. 


Webprogramme 
für das iPhone 


Bislang lässt Apple keine nativen Anwen- 
dungen außer den von ihm mitgelieferten 
auf dem iPhone zu. Nur im Browser lau- 
fende, mit Ajax dynamisierte Applikatio- 
nen können den Funktionsumfang des Ge- 
räts erweitern. Hält man sich an ein paar 
Regeln, lassen sich leicht passende Pro- 
gramme für das Handy 

erstellen und mit 

ein paar Tricks 

sogar de- > 

buggen. 


Display-Technik: 
Geräte und Verfahren 


Projektoren und Großdisplays gehören in- 
zwischen zur Standardausstattung für Prä- 
sentationen im Unternehmen. In der Regel 
kommen dafür Groß-Displays und Projek- 
toren zum Einsatz. Eine Marktübersicht 
zeigt die zurzeit erhältlichen Produkte und 
beleuchtet die Vor- beziehungsweise 
Nachteile der angewandten Techniken. 


Kein wichtiges Thema mehr versäumen! 


Die aktuelle iX-Inhaltsübersicht per E-Mail 


Man verpasst ja 
sonst schon genug! 
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ulelsjahzluh für 
CT soupvier 


N Jasanık 


720p-Projektoren für Heimkino, 
Spiel und Präsentation 


e’t-Notfall-CD gegen Viren und 
andere PC-Probleme 


Linux-Server für den Business- 
Bereich 


UPnP erleichtert die Heimnetz- 
konfiguration 


Heft 26/07 jetzt im Handel 


Technology 


DAS MT. 


Review 


Die „Physik“ der Börse: Wie 
Spitzen-Wissenschaftler die 
Märkte steuern 


Akkus auf Rädern: Elektroautos 
der nächsten Generation vor dem 
Start 


Pharma vs. Evolution: Der 
lange Weg zu Mitteln gegen 
Fettleibigkeit 


TELEPOLIS 


MAGAZIN DER NETZKULTUR 


Raffael Schuppisser: Computer- 
spiele sind Erzählungen 


Bernd Schröder: Schleichender 
Störfall Antihaftbeschichtungen 
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